C # String Параметры для защиты от инъекций?
Возьмите этот код в качестве примера:
IAmazonSimpleDB client = new AmazonSimpleDBClient(Amazon.RegionEndpoint.USEast1);
SelectResponse response = client.Select(new SelectRequest() {
SelectExpression = "SELECT * FROM 'foo' where FooID = '" + id + "'" });
Я могу переписать это так:
IAmazonSimpleDB client = new AmazonSimpleDBClient(Amazon.RegionEndpoint.USEast1);
SelectResponse response = client.Select(new SelectRequest() {
SelectExpression = "SELECT * FROM 'foo' where FooID = '{0}'", id });
Но, насколько я понимаю, это все еще делает его уязвимым для инъекций, верно?
Есть ли что-нибудь еще, что я могу сделать здесь? Мы не используем SQL, поэтому я не могу использовать параметры SQL.
1 ответ
Я обычно проверяю, является ли id целым числом. Таким образом, вы получите исключение или логическое значение, если оно не является целым числом. Это будет работать нормально, если вы не используете значения GUID.
var isNumeric = int.TryParse("123", out int n); //Will give a bool
Int32.Parse(yourString); //This will give an exception if it is not an possible integer
Если это что-то большее, то вы можете использовать выражение Regex для поиска странных значений и удаления символов, которых там быть не должно, например пробелов. Большинство SQL-атак не работает, если нет пробелов... Я думаю. Удалить все пробелы довольно легко, и я предполагаю, что ваш идентификатор (даже если он сложный) не будет включать пробелы.
string s = " "
string t = s.Replace(" ", ""). //It will be hard to do a sql attack if the spaces are removed.
Немного не по теме, но в С# 6.0 вы можете форматировать строку иначе; Это новая функция под названием "интерполяция строк" (спасибо, Этьен де Мартель).
$"SELECT * FROM 'foo' where FooID = '{id}'"
-
2Эта «новая функция» появилась в C # 6 и известна как интерполяция строк .
-
0Окей выпендреж: p
Ещё вопросы
- 0Как исчезнуть элемент при переходе?
- 0используйте оператор запятой для инициализации базового класса
- 0Как получить данные с помощью соединения в MySQL
- 1Uncaught (в обещании): TypeError: Невозможно прочитать свойство 'router' из неопределенного
- 0пакет udp не получен в QThread
- 0соответствие html <form> с регулярным выражением Python, кроме «get»
- 1Конвертировать массив .Net int в Java.Lang.Object
- 1Управление и нанесение данных на график
- 1Как найти направление движения мыши?
- 0Как я могу получить конкретный текст с веб-страницы
- 0Хранение времени в массиве
- 1Не удается получить SQL-запрос для сохранения результатов в переменных
- 1Asterisk Forbidden Error
- 0Экспорт Excel из таблицы MySQL
- 0Ошибка 400 (ошибка OAuth2) !! 1
- 0Как мне создать идентификатор для каждой записи в таблице базы данных?
- 0используя jQuery, чтобы снять все флажки, а затем проверить установленный
- 0Ось даты JQPlot не представляет график
- 0Как Javascript взаимодействует с HTML через document.getElementById?
- 1Сортировать список по имени, дате и иерархии
- 0Можно ли использовать Angular js и jQuery в одном проекте?
- 0Угловые диаграммы не могут заставить этикетки работать так, как мне нужно
- 1Панды: ускорение группового
- 1Толчок массива Javascript
- 1Редактировать изображения в файле PDF с помощью объекта COSStream
- 0Href vs select box
- 0Как можно остановить кнопку с помощью JQuery
- 0как сохранить промежуточный итог 2d массива
- 0I18n с Angular JS (jlg-i18n) - фильтры даты и валюты не работают (динамическое изменение локали $)
- 0AngularJS щелкает ячейку на столе, которая будет перенаправлять на другую веб-страницу
- 0Как активировать состояние и передать объект в новый вид?
- 0Переписать URL в AngularJS Factory
- 1Jsoup удалить конкретный идентификатор TR
- 1Есть ли способ синхронно ждать завершения рекурсивной асинхронной функции в Javascript?
- 0Получить геометрические кординаты из таблицы Oracle
- 0C ++ Статическая Декларация
- 0Проблема приведения лямбда в std :: function
- 1Telegram TypeError: первый аргумент должен быть вызываемым
- 1Можно ли использовать обратные вызовы с обещаниями или это так или иначе в node.js?
- 0jQuery увеличение и уменьшение высоты div на основе позиционирования прокрутки
- 1Android GC собирает объект, если событие имеет сильную ссылку на приложение (почему это происходит?)
- 0не может получить доступ к свойству объекта внутри директивы
- 0Проверьте, существует ли элемент в двумерном массиве C ++
- 1Как проверить, соответствует ли имя строки в dataframe имени столбца
- 1Получить данные из строки сетки ExtJS, используя селен
- 1Добавление ключа в словарь объектов класса при создании элемента подкласса - Python 3+
- 0Удаление определенного эффекта jquery
- 1Правильное использование IEnumerable <T>
- 0Dojo документация альтернатива
- 1«Java.io.FileNotFoundException (нет такого файла или каталога)»
SQL CRUD Functionsна стороне БД, создавая хранимые процессыidв вашем вопросе целым числом? Если это так, то самое большее неправильный идентификатор может быть добавлен, но без текста запроса.