防止 SQL 遭受注入攻击答案

【问题标题】：Preventing SQL from injection attacks防止 SQL 遭受注入攻击
【发布时间】：2016-07-19 09:48:52
【问题描述】：

我有一个包含 SQL 查询的程序，昨天有人向我指出它很容易受到 SQL 注入攻击。在做了一些研究之后，我可以看到要解决这个问题，我需要使用参数。我有以下代码...如何参数化？

Public Shared Function SaveNewPerson(ByVal firstName As String, lastName As String, ByVal age As Integer, ByVal postcode As String, m_cn As OleDbConnection)

    Dim tr As OleDbTransaction = Nothing

    Try
        tr = m_cn.BeginTransaction()

        Dim Dc As New OleDbCommand
        Dc.Connection = m_cn

        Dc.CommandText = "INSERT INTO tblPerson([firstName], [lastName], [age], [postcode]) VALUES('" & firstName & "', '" & lastName & "', '" & age & "', '" & postcode & "')"
        Dc.Transaction = tr
        Dc.ExecuteNonQuery()

        Dim personID As Integer

        Dc.CommandText = "SELECT SCOPE_IDENTITY() AS personID"
        Dc.CommandType = CommandType.Text
        personID = CType(Dc.ExecuteScalar(), Integer)

        tr.Commit()

    Catch ex As Exception

        tr.Rollback()

        Throw
    End Try

End Function

【问题讨论】：

Passing parameter to query for Access database的可能重复
@MattWilko 嗨，马特，我使用的是 SQLServer，而不是 Access 数据库，我可能应该在问题中说明这一点，但这就是为什么我认为 OleDb 是一个奇怪的选择
请发布您的表格架构/定义。另外，您使用的是什么数据库服务器？
@fcm 没有定义，我是在开始vb项目之前在SQLServer中创建的
用你的变量替换字符串常量

标签： vb.net tsql oledb executescalar

【解决方案1】：

我会先做一个存储过程插入到sql server，然后再使用

    dc.commandText = "Your stored procedure name"
    dc.commandType = CommandType.StoredProcedure
    Dim myParam as oledb.OleDbParameter = dc.parameters.add("@personID", oledbtype.int)
    myParam.Direction = ParameterDirection.ReturnValue
    dc.Parameters.Add("@firstName", OleDbType.VarChar).Value = [firstname]
    ....
    ....

    Dim returnId as Integer = Cint(dc.Parameters("@personID").Value)

【讨论】：

但是我需要 SQL 语句将数据插入数据库，然后为每条记录创建一个 ID，而不是保存它，然后在单独的函数中返回 ID。我认为下面的答案可能更好，因为它会在我得到一个错误时起作用。
@joe 这将在插入记录后为您提供 id。您在存储过程中执行此操作 DECLARE '@Id' AS INT SET '@Id' = SCOPE_IDENTITY() RETURN '@Id.'

【解决方案2】：

   Dc.CommandText = "INSERT INTO tblPerson([firstName], [lastName], [age], [postcode]) VALUES('" & firstName & "', '" & lastName & "', '" & age & "', '" & postcode & "')"

改成

Dc.CommandText = "INSERT INTO tblPerson([firstName], [lastName], [age], [postcode]) VALUES(?, ?, ?, ?)"
Dc.Parameters.Add("@first", OleDbType.VarChar, firstName)
Dc.Parameters.Add("@last", OleDbType.VarChar, lastName)
Dc.Parameters.Add("@age", OleDbType.Integer, age)
Dc.Parameters.Add("@postcode", OleDbType.VarChar, postcode )

（检查正确的OldDbType值是否通过。）

注意。参数集合中的顺序决定了哪个参数匹配哪个? 占位符。赋予参数的名称（似乎）被忽略了。

【讨论】：

我相信OLEDB查询参数必须使用?占位符？
@MattWilko 使用此代码直接从理查兹的答案中复制和粘贴。我输入的数据是 firstName as Test, lastName as User, age作为 30 和 postcode 作为 ABC 123 我目前在行 Dc.Parameters.Add("@first", OleDbType.VarChar, firstName) 说 Conversion from string "Test" to type 'Integer' is not valid. 上遇到错误，这是它的原因吗？需要使用问号吗？
@joe 你可能是对的，更新为使用正确的参数占位符。
@Richard 嗨，对不起，这仍然没有奏效:(我创建了一个新问题，我有一个工作声明，但最后有一个错误，如果你能帮忙的话这个呢？stackoverflow.com/questions/38457341/…
@Joe：这个新问题已经得到解答。也许您只需要一个问题，但要确保它是完整的代码（例如，此问题中没有要转换的“测试”值）。