如果我只允许特定列表中的词,我是否有 SQL 注入的危险?
Am I in danger of SQL injection if I only allow words from a specific list?
我有一些代码可以访问 SQL 服务器数据库中的 table:
...
if (GetViewNames(connection).Contains(name))
{
query = "SELECT * FROM [" + name + "]";
}
...
这里是"GetViewNames":
private List<string> GetViewNames(SqlConnection connection)
{
List<string> viewNames = new List<string>();
foreach (DataRow row in connection.GetSchema("Views").Rows)
{
// The third element in the "rows" array is the name of the view.
viewNames.Add(row[2].ToString());
}
return viewNames;
}
我只想知道这段代码是否对 SQL 注入开放。 name 是一个通过 URL 传递的字符串(不好,我知道),但如果 name 在我的 table 列表中,它只会查询数据库,对吧?或者我在这里遗漏了什么?
我不是安全专家,所以请善待您的回复。
没有什么能阻止您创建名为 users];DROP TABLE [users 的视图。用这个视图名执行代码会发生什么应该很清楚了。
如果你所有的视图都是你自己命名的,可以保证它的安全,但我建议使用QUOTENAME以防万一。
我有一些代码可以访问 SQL 服务器数据库中的 table:
...
if (GetViewNames(connection).Contains(name))
{
query = "SELECT * FROM [" + name + "]";
}
...
这里是"GetViewNames":
private List<string> GetViewNames(SqlConnection connection)
{
List<string> viewNames = new List<string>();
foreach (DataRow row in connection.GetSchema("Views").Rows)
{
// The third element in the "rows" array is the name of the view.
viewNames.Add(row[2].ToString());
}
return viewNames;
}
我只想知道这段代码是否对 SQL 注入开放。 name 是一个通过 URL 传递的字符串(不好,我知道),但如果 name 在我的 table 列表中,它只会查询数据库,对吧?或者我在这里遗漏了什么?
我不是安全专家,所以请善待您的回复。
没有什么能阻止您创建名为 users];DROP TABLE [users 的视图。用这个视图名执行代码会发生什么应该很清楚了。
如果你所有的视图都是你自己命名的,可以保证它的安全,但我建议使用QUOTENAME以防万一。