Comment éviter l'injection SQL dans une requête SQL avec l'opérateur Like à l'aide de paramètres?

Question

La prise en charge du code de mon prédécesseur et j'ai trouvé une requête qui utilise l'opérateur comme:

SELECT * FROM fournisseurs OU Nom_fournisseur comme « % » + nom +% ';

Essayez d'éviter le problème d'injection SQL et paramétrez-le, mais je ne suis pas tout à fait sûr de la façon dont cela serait accompli. Aucune suggestion ?

note, j'ai besoin d'une solution pour ADO.NET classique - je n'ai pas vraiment le feu vert pour passer ce code à quelque chose comme LINQ.

Answer 1

essayez ceci:

var query = "select * from foo where name like @searchterm"; 
using (var command = new SqlCommand(query, connection)) 
{ 
    command.Parameters.AddWithValue("@searchterm", String.Format("%{0}%", searchTerm)); 
    var result = command.ExecuteReader(); 
} 

le cadre traitera automatiquement les problèmes citant.

Answer 2

paramétrons simplement votre demande:

SELECT * FROM suppliers WHERE supplier_name like '%' + @name + '%' 

Vous pouvez maintenant transmettre votre variable « name » dans le paramètre @name et la requête exécutera sans aucun danger d'attaques par injection. Même si vous passez quelque chose comme "'' OU vrai -" ça fonctionnera toujours bien.

Answer 3

court anwser:

1) name.Replace ("'", " ''") .... Remplacer les caractères d'échappement que votre base de données peut avoir (des guillemets simples étant les plus courants)

2) si vous utilisez un langage comme .net utiliser requêtes paramétrées

sql="Insert into Employees (Firstname, Lastname, City, State, Zip, Phone, Email) Values ('" & frmFirstname.text & "', '" & frmLastName & "', '" & frmCity & "', '" & frmState & "', '" & frmZip & "', '" & frmPhone & "', '" & frmEmail & "')" 

le remplacé par passe au-dessus du dessous

Dim MySQL as string = "Insert into NewEmp (fname, LName, Address, City, State, Postalcode, Phone, Email) Values (@Firstname, @LastName, @Address, @City, @State, @Postalcode, @Phone, @Email)" 

With cmd.Parameters: 
    .Add(New SQLParameter("@Firstname", frmFname.text)) 
    .Add(New SQLParameter("@LastName", frmLname.text)) 
    .Add(New SQLParameter("@Address", frmAddress.text)) 
    .Add(New SQLParameter("@City", frmCity.text)) 
    .Add(New SQLParameter("@state", frmState.text)) 
    .Add(New SQLParameter("@Postalcode", frmPostalCode.Text)) 
    .Add(New SQLParameter("@Phone", frmPhone.text)) 
    .Add(New SQLParameter("@email", frmemail.text)) 
end with 

3) utilisateur stockées procs

4) utiliser LINQ to SQL, encore une fois si vous utilisez .net

Answer 4

Dans Entity Framework 6, il pourrait être fait comme ceci par SQL natif:

List<Person> peopleList = contex.People.SqlQuery(
    @"SELECT * FROM [Person].[Person] 
     WHERE [FirstName] LIKE N'%' + @p0 + '%' ", "ab").ToList(); 

Ou

List<Person> peopleList = contex.People.SqlQuery(
    @"SELECT * FROM [Person].[Person] 
     WHERE [FirstName] LIKE N'%' + @name + '%' ", 
    new SqlParameter("@name", "ab")).ToList(); 

En outre, vous pouvez simplement utiliser LINQ aux entités directement:

List<Person> peopleList1 = contex.People.Where(s => s.FirstName.Contains("ab")).ToList();