asp.net是否可以防御sql注入攻击？

Question

在使用ASP.net控件时，默认情况下是否可以防御SQL注入攻击？

Answer 1

不是的。只要您提供了SQL，您就可以决定如何使用控件。

这通常意味着清理输入并使用参数化查询或存储过程而不是动态SQL字符串。

如果控件正在为您生成查询(如成员资格控件等)那你就会受到很好的保护。

Answer 2

是也不是。

ADO.NET对参数化有很好的支持，当您正确使用它时，参数值将被自动消毒以防止SQL注入。因此，您可以向SqlCommand (或SqlDataSource控件)添加参数，而不必过多担心其中的内容。

好消息是，参数化你的东西真的很容易。我将向您展示一个以编程方式完成此操作的C#示例，但是you can do it declaratively with server controls if you prefer.

坏消息是，就像其他事情一样，你仍然需要考虑你正在做什么。如果您想要具有任何安全性，则必须将来自不安全源的任何字符串参数化为。如果您将其逐字粘贴到查询中，您将绕过ADO.NET的安全功能。

安全：

string name = txtName.Text;
sqlCommand.CommandText = "select * from product where name = @name";
sqlCommand.Parameters.AddWithValue("name", name);

不安全：

string name = txtName.Text;
sqlCommand.CommandText = "select * from product where name = " + name;

如果您的SQL查询中有任何内容直接来自用户，您需要将其放入一个参数中，否则所有的赌注都会失效。例如，你可以把代码放在一个参数中，然后把它传递给 EXEC语句。但是你不会那么做的，因为这是一个非常糟糕的想法。

仍然不安全(是的，我在产品代码中看到了这一点)！

string sql = "select * from product where name = " + txtName.Text;
sqlCommand.CommandText = "exec(@sql)";
sqlCommand.Parameters.AddWithValue("sql", sql);

SQL；DR： ADO.NET具有阻止注入的强大功能，但前提是您必须正确使用它们。

Answer 3

大多数ASP.Net控件(除了DataGrid)根本不使用SQL。

如果您的代码中有自己的SQL (使用SqlCommand)，则不会获得任何免费的保护；您需要使用参数。

少数使用SQL (SqlDataSource和成员框架)的控件确实使用了参数，并且可以安全地防止注入。