Vb.net 防止SQL注入攻击
我有一个包含SQL查询的程序,昨天有人向我指出,它非常容易受到SQL注入攻击。在做了一些研究之后,我发现要解决这个问题,我需要使用参数。 我有以下代码。。。你怎么把这个参数化Vb.net 防止SQL注入攻击,vb.net,tsql,oledb,executescalar,Vb.net,Tsql,Oledb,Executescalar,我有一个包含SQL查询的程序,昨天有人向我指出,它非常容易受到SQL注入攻击。在做了一些研究之后,我发现要解决这个问题,我需要使用参数。 我有以下代码。。。你怎么把这个参数化 Public Shared Function SaveNewPerson(ByVal firstName As String, lastName As String, ByVal age As Integer, ByVal postcode As String, m_cn As OleDbConnection)
Public Shared Function SaveNewPerson(ByVal firstName As String, lastName As String, ByVal age As Integer, ByVal postcode As String, m_cn As OleDbConnection)
Dim tr As OleDbTransaction = Nothing
Try
tr = m_cn.BeginTransaction()
Dim Dc As New OleDbCommand
Dc.Connection = m_cn
Dc.CommandText = "INSERT INTO tblPerson([firstName], [lastName], [age], [postcode]) VALUES('" & firstName & "', '" & lastName & "', '" & age & "', '" & postcode & "')"
Dc.Transaction = tr
Dc.ExecuteNonQuery()
Dim personID As Integer
Dc.CommandText = "SELECT SCOPE_IDENTITY() AS personID"
Dc.CommandType = CommandType.Text
personID = CType(Dc.ExecuteScalar(), Integer)
tr.Commit()
Catch ex As Exception
tr.Rollback()
Throw
End Try
End Function
将此更改为
Dc.CommandText = "INSERT INTO tblPerson([firstName], [lastName], [age], [postcode]) VALUES(?, ?, ?, ?)"
Dc.Parameters.Add("@first", OleDbType.VarChar, firstName)
Dc.Parameters.Add("@last", OleDbType.VarChar, lastName)
Dc.Parameters.Add("@age", OleDbType.Integer, age)
Dc.Parameters.Add("@postcode", OleDbType.VarChar, postcode )
(检查是否传递了右侧的OldDbType
值。)
注意。参数集合中的顺序决定了哪个参数与哪个
?
占位符匹配。为参数指定的名称(似乎)被忽略。我会先创建一个存储过程,插入到sql server中,然后使用
dc.commandText = "Your stored procedure name"
dc.commandType = CommandType.StoredProcedure
Dim myParam as oledb.OleDbParameter = dc.parameters.add("@personID", oledbtype.int)
myParam.Direction = ParameterDirection.ReturnValue
dc.Parameters.Add("@firstName", OleDbType.VarChar).Value = [firstname]
....
....
Dim returnId as Integer = Cint(dc.Parameters("@personID").Value)
我相信您必须为OLEDB查询参数使用
?
占位符?@MattWilko使用此代码直接从Richards answer复制和粘贴。我输入的数据是firstName作为Test,lastName作为User,年龄30岁,邮政编码为ABC 123。我当前在Dc.Parameters.行中得到一个错误。添加(“@first”,OleDbType.VarChar,firstName)
表示从字符串“Test”转换为类型“Integer”无效。这就是原因吗,需要使用问号吗?@joe您可能是对的,已更新为使用正确的参数占位符。@Richard Hi,很抱歉这仍然不起作用:(我创建了一个新问题,其中我有一个工作语句,但最后有一个错误,如果你能帮助解决这个问题?@Joe:这个新问题已经得到了回答。也许你只需要一个问题,但要确保它是完整的代码(例如,这个问题中没有要转换的“测试”值)。可能重复@MattWilko Hi Matt,我使用的是SQLServer,而不是Access数据库,我可能应该在问题中明确这一点,但这就是为什么我说OleDb是一个奇怪的选择。请发布您的表架构/定义。另外,您使用的是什么db服务器?@fcm没有定义,我在SQLServer中创建了它g vb项目只需用变量替换字符串常量,但我需要SQL语句将数据插入数据库,然后为每个记录创建一个ID,而不是保存它,然后在单独的函数中返回ID。我认为下面的答案可能更好,因为它可以在我得到的一个错误之外工作。@joe这将在插入记录后获取id。您可以在存储过程中将'@id'声明为INT SET'@id'=SCOPE_IDENTITY()返回'@id.'
dc.commandText = "Your stored procedure name"
dc.commandType = CommandType.StoredProcedure
Dim myParam as oledb.OleDbParameter = dc.parameters.add("@personID", oledbtype.int)
myParam.Direction = ParameterDirection.ReturnValue
dc.Parameters.Add("@firstName", OleDbType.VarChar).Value = [firstname]
....
....
Dim returnId as Integer = Cint(dc.Parameters("@personID").Value)