将用户上传的 CSV 文件从 ASP.NET 解析到 MySQL DB。安全问题

【问题标题】:Parsing a user uploaded CSV file from ASP.NET into MySQL DB. Security Issues将用户上传的 CSV 文件从 ASP.NET 解析到 MySQL DB。安全问题
【发布时间】:2012-04-23 02:32:47
【问题描述】:

我正在编写一个 ASP.NET 网站,用户可以在其中上传一个 .CSV 文件,我想从中提取数据到 MySQL 数据库的表中。我想知道通过防止 SQL 注入或对我的数据库造成其他危险来做到这一点的最安全方法是什么。

我还想知道提取它的最佳方法是什么?例如,是否建议使用 API 直接从按钮按下后提取数据,或者我应该将文件推送到服务可能会定期提取的临时位置?

提前致谢

【问题讨论】:

  • 仅仅因为数据来自 CSV 文件并不意味着您必须为防止 SQL 注入执行任何特殊操作。完全相同的技术普遍适用于此。
  • 马克说了什么。清理您的用户输入,不要发明自己的解决方案,使用准备好的语句,使用权限最少的数据库用户......
  • 准备好的语句是什么意思?你会应用什么技术?

标签: asp.net mysql security csv sql-injection


【解决方案1】:

使用准备好的语句在后端使用您的 CSV 数据。准备好的语句安全地转义数据以防止 SQL 注入。

http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.prepare(v=vs.71).aspx

切勿创建通过连接或连接字符串来使用数据的动态字符串。只使用准备好的语句。

这是通用的,无论输入源如何都应该使用。

【讨论】:

  • 您好,感谢您的评论。我从不使用动态字符串并且总是使用参数,但为什么准备语句安全地转义它们?它没有提到有关防止该 msdn 文章上的 sql 注入的任何内容。此外,您建议的方式意味着遍历数据表中的每一行并单独插入它们。我想知道是否有任何方法可以一次性将所有内容从 CSV 中导入?
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2015-06-02
  • 1970-01-01
  • 2016-03-05
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode