Как защитить инструкцию WHERE & hellip; IN SQL от Injection [duplicate]
Пример одиночных, двойных, heredoc и nowdoc котировок
<?php
$fname = "David";
// Single quotes
echo 'My name is $fname .'; // My name is $fname.
// Double quotes
echo "My name is $fname."; // My name is David.`
// Curly braces to isolate the name of the variable
echo "My name is {$fname}."; // My name is David.
// Example of heredoc
echo $foo = <<<abc
My name is {$fname}
abc;
// Example of nowdoc
echo <<< 'abc'
My name is "$name".
Now, I am printing some
abc;
?>
3 ответа
Это не проблема, специфичная для сущности-рамки, вы можете решить ее, генерируя свои собственные имена параметров динамически.
var parameters = new List<SqlParameter> {
new SqlParameter("@DateParam", dateQueryString),
new SqlParameter("@LineCode", chartModelData.LineCode),
new SqlParameter("@ModelNumber", chartModelData.ModelNum),
new SqlParameter("@EquipNumber", equipmentNumber),
new SqlParameter("@LotNumber", chartModelData.LotNum)
};
var dateParameters = chartModelData
.GetFormattedDateList()
.Select((date, index) => new SqlParameter("@date" + index, date));
parameters.AddRange(dateParameters);
var inValues = string.Join(", ", dateParameters.Select(p => p.ParameterName));
var query = @"SELECT MAX(DATA_SEQ) AS MaxSeq,
MIN(DATA_SEQ) AS MinSeq,
COUNT(1) AS TotSampleCnt
FROM SPCDATA_TB
WHERE DATA_WDATE IN (" + inValues + @")
AND LINE_CODE = @LineCode
AND MODEL_NO = @ModelNumber
AND LOT_NO = @LotNumber
AND EQUIP_NO LIKE @EquipNumber";
var myResult = _dbContext.Database
.SqlQuery<SPCDataSeqCntInfo>(query, parameters.ToArray());
Полученный запрос, отправленный на SQL-сервер, будет выглядеть следующим образом :
SELECT
MAX(DATA_SEQ) AS MaxSeq,
MIN(DATA_SEQ) AS MinSeq,
COUNT(1) AS TotSampleCnt
FROM SPCDATA_TB
WHERE DATA_WDATE IN (@date0, @date1, @date2)
AND LINE_CODE = @LineCode
AND MODEL_NO = @ModelNumber
AND LOT_NO = @LotNumber
AND EQUIP_NO LIKE @EquipNumber
Как правило, вы хотите избежать манипуляции строками при написании запросов, однако, я считаю, что этот пример безопасен из sql-injection.
-
1– Yuliam Chandra 26 August 2014 в 04:14
Я бы написал сохраненный proc вместо этого, который принимает ваши параметры, а затем добавит proc в ваш edmx.
Затем в edmx -> Model Browser -> Function Imports -> ... change возвращаемый тип сохраненного proc в SPCDataSeqCntInfo.
Затем структура Entity будет заботиться о передаче ваших параметров.
, например
public static List<SPCDataSeqCntInfo> GetSPCDataSeqCntInfo(DateTime dateParam, string lineCode, int modelNum, int equipmentNumber, int lotNum)
{
using (var db = new NameOfMyEntites())
{
return db.sp_GetSPCDataSeqCntInfo(dateParam, lineCode, modelNum, equipmentNumber, lotNum).ToList();
}
}
-
1– l46kok 26 August 2014 в 02:04
-
2– Scotty 26 August 2014 в 02:09
Вот как вы могли бы написать свой запрос в SQL.
select *
from MyTable
where dateColumn in ('2014-01-01', '2014-02-01', '2014-03-01')
Таким образом, нельзя ожидать иначе, чем представлять эту строку, полностью ограниченную скобками.
var dateQueryString = string.Join(",", chartModelData.GetFormattedDateList());
// Dates shall be returned as DateTime.ToShortDateTimeString() as follows:
// '2014-01-01', '2014-02-01', '2014-03-01'
Тогда остается только обернуть его в круглые скобки.
var sql = @"select max(data_seq) as MaxSeq
, min(data_seq) as MinSeq
, count(1) as TotSampleCnt
from spcdata_tb
where data_wadate in (@DateParam)
and line_code = @LineCode
and model_no = @ModelNumber
and lot_no = @LotNumber
and equip_no like @EquipNumber";
Укажите значения параметров для каждого именованного параметра и voilà! Это сделает это!