已解決430363個問題，去搜搜看，總會有你想問的

防止注入的C#字符串參數？

首頁猿問防止注入的C#字符串參數？

防止注入的C#字符串參數？

至尊寶的傳說 2022-06-18 17:43:28

以這段代碼為例：IAmazonSimpleDB client = new AmazonSimpleDBClient(Amazon.RegionEndpoint.USEast1); SelectResponse response = client.Select(new SelectRequest() { SelectExpression = "SELECT * FROM `foo` where FooID = '" + id + "'" });我可以這樣重寫它：IAmazonSimpleDB client = new AmazonSimpleDBClient(Amazon.RegionEndpoint.USEast1); SelectResponse response = client.Select(new SelectRequest() { SelectExpression = "SELECT * FROM `foo` where FooID = '{0}'", id });但據我了解，這仍然容易被注射，對吧？還有什么我可以在這里做的嗎？我們沒有使用 SQL，所以我不能做 SQL 參數。

查看完整描述

1 回答

開滿天機

TA貢獻1786條經驗獲得超13個贊

我通常會檢查 id 是否為整數。這樣，如果它不是 int，您將獲得異常或布爾值。除非您使用 GUID 值，否則它將正常工作。

var isNumeric = int.TryParse("123", out int n); //Will give a bool

Int32.Parse(yourString); //This will give an exception if it is not an possible integer

如果不止于此，那么您可以使用正則表達式來查找奇怪的值并刪除不應該存在的字符，例如空格。如果沒有空格，大多數 SQL 注入攻擊都不會起作用……我想。刪除所有空格非常容易，我假設您的 ID（即使它很復雜）不會包含空格。

string s = " "

string t = s.Replace(" ", ""). //It will be hard to do a sql attack if the spaces are removed.

有點離題，但使用 C# 6.0，您可以以不同的方式格式化字符串；這是一個稱為“字符串插值”的新功能（感謝 Etienne de Martel）。

$"SELECT * FROM `foo` where FooID = '{id}'"

反對回復 2022-06-18

1 回答
0 關注
128 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

防止注入的C#字符串參數？

防止注入的C#字符串參數？

1 回答

添加回答

防止注入的C#字符串參數？

防止注入的C#字符串參數？