कैसे एक asp.net वेबसाइट में SQL इंजेक्शन को रोकने के लिए

Question

मैं ग्राहक के पक्ष की जांच कर रही हूँ, उपयोगकर्ता, द्वारा एक पाठ बॉक्स में ईमेल प्रवेश के लिए कि ईमेल वैध है खोजने के लिए है या नहीं

string emailexist = "SELECT COUNT(DISTINCT UserID) as count FROM tbl_user WHERE Email=@Email ";  


    <asp:RegularExpressionValidator ID="RegularExpressionValidator2" ValidationGroup="Login" ControlToValidate="txtUserName" 
          ValidationExpression="\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*" CssClass="Error" 
          runat="server" /> 

इस नियमित रूप से है ईमेल के लिए एसक्यूएल इंजेक्शन को रोकने के लिए पर्याप्त अभिव्यक्ति पर्याप्त है।

अन्य पाठ:

string groupExistQuery = "SELECT COUNT(DISTINCT GroupID) as count FROM tbl_group WHERE GroupName=@GroupName"; 

मैं कि क्या समूह का नाम उपयोगकर्ता द्वारा दर्ज डेटाबेस में पहले से ही उपलब्ध है की जाँच करने के सर्वर साइड में एक प्रश्न कर रहा हूँ, यहाँ एसक्यूएल इंजेक्शन प्रदर्शन करने के लिए एक मजबूत संभावना है। मुझे इससे कैसे रोकना चाहिए।

Answer 1

एक रेगेक्स एसक्यूएल इंजेक्शन के लिए असंबद्ध (ब्लैकलिस्टिंग आदि कभी भी सबसे मजबूत दृष्टिकोण नहीं है); हालांकि, पैरामीटर @Email साधनों के प्रयोग (यह मानते हुए रहता parameterised) वह यह है कि नहीं एसक्यूएल इंजेक्शन के लिए अतिसंवेदनशील।

एसक्यूएल इंजेक्शन इनपुट के अनुचित संयोजन से संबंधित है; इससे लड़ने का मुख्य उपकरण पैरामीटर है, जो पहले से ही हुआ है।

उदाहरण के लिए, यदि आप ने क्या किया:

var sql = "SELECT ...snip... WHERE Email='" + email + "'"; // BAD!!!!! 

तो कि भारी एसक्यूएल इंजेक्शन के लिए अतिसंवेदनशील है। पैरामीटर का उपयोग करके, मान को क्वेरी के हिस्से के रूप में नहीं माना जाता है, इसलिए हमलावर पर हमले वेक्टर नहीं होते हैं।

Answer 2

आप डायरेक्ट एसक्यूएल का उपयोग नहीं है और इसके बजाय parameterised प्रश्नों और/या संग्रहित प्रक्रियाओं का उपयोग करके इसे रोका जा सकता है।

Answer 3

आप parameterised मूल्यों का उपयोग करते हैं तो आपको मानकों के माध्यम से इंजेक्षन नहीं कर सकते, केवल श्रेणीबद्ध मूल्यों के माध्यम से, भले ही ठीक हो जा रहे हैं।

Answer 4

Here माइक्रोसॉफ्ट पैटर्न & आपके प्रश्न के लिए प्रैक्टिस समूह का उत्तर है।

सामान्य में, सरल नियम है: गतिशील एसक्यूएल पीढ़ी का उपयोग नहीं है और अगर आप ऐसा करेंगे, आपके इनपुट स्वच्छ।

कभी सिर्फ अपने SQL क्वेरी के निर्माण के लिए तार जोड़। यदि आपको अपने आवेदन में अपने आप से कोई प्रश्न बनाने की आवश्यकता है, तो पैरामीटर के साथ parametrized SQL क्वेरी का उपयोग करें - इस तरह आप एक सुरक्षित पक्ष पर हैं।

यहाँ दस्तावेज़ मैं ऊपर के लिए लिंक प्रदान से एक उदाहरण है:

DataSet userDataset = new DataSet(); 
    SqlDataAdapter myCommand = new SqlDataAdapter( 
      "LoginStoredProcedure", connection); 
    myCommand.SelectCommand.CommandType = CommandType.StoredProcedure; 
    myCommand.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11); 
    myCommand.SelectCommand.Parameters["@au_id"].Value = SSN.Text; 

    myCommand.Fill(userDataset); 

Answer 5

1. उपयोग parameterised मूल्यों
2. सांकेतिक शब्दों में बदलना आपके तार