C# 中查询的 SQL 注入问题

Question

我有一些用我的 C# 代码编写的 SQL 查询。表名称使用枚举传递给构造函数。然后它分配给全局变量并附加到字符串，

const string ADD_SQL = "INSERT INTO {0} (ColumnOne) VALUES (@valueOne)";
const string CLEAR_SQL = "DELETE FROM {0}";

var commandText = string.Format(ADD_SQL , _tableName);

但是当我运行 Veracode 工具时，它显示该查询在执行时可能存在 SQL 注入。

command.ExecuteNonQuery();

从代码中避免这种 SQL 注入场景的任何可能的解决方案。需要对上述 const 进行重构。我尝试添加标签 (@tablename) 并尝试过。但没有成功。

const string ADD_SQL = "INSERT INTO @tablename (Data) VALUES (@valueOne)";
var commandText = ADD_MESSAGE_SQL.Replace("@tablename", _tableName);

还有其他可能的解决方案来避免这种情况吗？

Answer 1

很有可能 Veracode 不喜欢您将 SQL 查询像您当前的语句那样放置，而是希望使用它规定的方式来编写此代码。正如documentation in the Repair section 中可见的那样，它希望您使用准备好的语句来创建参数化查询。

现在取决于您的选择。我对此的看法是存储过程会更好，但如果您必须保留query in C#，请不要尝试让一个查询对所有场景和表格都过于通用。

Answer 2

如果您的字符串来自用户输入，那么将字符串连接到 SQL 语句中是有风险的。
虽然您描述的情况并非如此，但我猜 Veracode 工具不知道字符串的来源，它只会看到字符串连接并发出警告。

更好的方法是为每个表编写完整的 SQL 语句（通常我更喜欢使用存储过程，但这是另一个主题 [您可以搜索存储过程与内联 SQL]）并使用参数作为值（标识符不能正如您已经发现的那样，在 SQL 中进行参数化）。

所以不是

const string ADD_SQL = "INSERT INTO {0} (ColumnOne) VALUES (@valueOne)";
const string CLEAR_SQL = "DELETE FROM {0}";

并在运行时添加表名，这是一个更好的解决方案：

const string ADD_tableName = "INSERT INTO TableName (ColumnOne) VALUES(@ValueOne)"
const string CLEAR_tableName = "DELETE FROM TableName";

还有更好的解决方案，但对于您提供的代码，这是最简单的解决方案。