问题标签 [sql-injection]

.Net 中的参数化查询在示例中总是如下所示：

但我在尝试执行以下操作时遇到了砖墙：

在哪里

• CategoryIDs 是逗号分隔的数字列表“123,456,789”（不带引号）
• 名称是一个字符串，可能带有单引号和其他坏字符

什么是正确的语法？

我需要避免在我的 ASP.NET 应用程序中容易受到 SQL 注入的影响。我怎么能做到这一点？

我一直在向我的同事和这里宣讲在 SQL 查询中使用参数的好处，尤其是在 .NET 应用程序中。我什至承诺他们会提供对 SQL 注入攻击的免疫力。

但我开始怀疑这是否真的是真的。是否有任何已知的 SQL 注入攻击可以成功针对参数化查询？例如，您可以发送一个导致服务器缓冲区溢出的字符串吗？

当然，还有其他考虑因素可以确保 Web 应用程序是安全的（比如清理用户输入和所有这些东西），但现在我正在考虑 SQL 注入。我对针对 MsSQL 2005 和 2008 的攻击特别感兴趣，因为它们是我的主数据库，但所有数据库都很有趣。

编辑：澄清我所说的参数和参数化查询的意思。通过使用参数，我的意思是使用“变量”而不是在字符串中构建 sql 查询。
所以不要这样做：

我们这样做：

然后在查询/命令对象上设置@Name 参数的值。

我的公司要求所有生产站点都通过 AppScan 安全扫描。有时，当我们扫描 SharePoint 安装时，该软件会检测到 SQL 盲注漏洞。我很确定这是一个误报——AppScan 可能将 HTTP 响应中的一些其他活动解释为盲注的成功。但很难证明情况确实如此。

我怀疑 MOSS 07 和 WSS 3.0 的 SharePoint 只在幕后使用存储过程。有谁知道微软是否有任何关于此效果的文档，此外，是否有任何存储过程使用动态生成的 SQL？如果一切都是 sproc，并且它们都不是动态的，那么我们将有很好的证据表明 SharePoint 没有 SQL 注入漏洞。

在对上一个问题的评论中，有人说以下 sql 语句打开了我的 sql 注入：

假设$userid变量被正确转义，这如何让我变得脆弱，我能做些什么来修复它？

只是看着：

（来源：https ://xkcd.com/327/ ）

这个 SQL 做了什么：

我都知道'并且是为了发表评论，但由于它是同一行的一部分，所以--这个词也没有得到评论吗？DROP

我正在做这个系统堆叠，我正在创建搜索功能。在那个过程中，我想到也许AR/nHibernate Expression.Like（和兄弟姐妹）可能不是 100%“安全”，因为你可以创建类似的东西；"\r\ndrop database xxx;---" 和类似的东西......？

我希望他们是安全的，但我不确定......

我通过 a 运行所有整数，(int)Integer以使它们可以安全地用于我的查询字符串中。

我还通过这个函数代码运行我的字符串：-

我显然返回了 $cleanedString 变量。现在我替换 % 字符，因为它是 mySQL 的通配符，如果用户插入它们，它可能会减慢我的查询（或使它们返回不正确的数据）。我应该关注 mySQL 的任何其他特殊字符吗？

其次，在 ? 之后的搜索和替换有什么错误或多余的mysql_real_escape_string吗？我刚开始时从一个网站上得到它，并且（如果我没记错的话）它说除了转义字符串之外，您还必须使用此搜索/替换。看起来它正在尝试删除任何以前转义的注入字符？

任何人都知道一个好的库，我可以在插入字符串之前运行它们，可以去掉 sql/javascript 代码？在jsp页面中运行。

理想情况下，lib 将是：

• 自由
• 轻的
• 便于使用

提前感谢 SO 社区，他们会很高兴地回复 :)