这条SELECT语句有什么不安全感？

Question

我是ASP.NET和C＃的新手。从我正在阅读的一本书中，我编写了一条从数据库获取值的SELECT语句。但是，当我在网上搜索时，程序员说这是不安全的，不应该这样做。对于C＃中的新手来说，我怎么知道我编程的方式是错误还是正确？有规则吗？例如，编写此代码的正确方法是什么：

using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["CustomerDataConnectionString"].ConnectionString)) 
{ 
    SqlCommand cmd = new SqlCommand("SELECT CONVERT(varchar, CAST(plan_rate AS money), 1) FROM [dbo].[plans] WHERE plan_name = '" + Dropdownbox1.Text + "'", conn); 
    conn.Open(); 

    using (conn) 
    { 
     Object result = cmd.ExecuteScalar(); 
     if (result != null) 
      Label6.Text = "Plan rate: $" + result.ToString(); 
     else 
      Label6.Text = "Plan is not available in this state."; 

     conn.Close(); 
    } 

    ....... rest of code 

Answer 1

这是正确的代码是不安全的。考虑如果Dropdownbox1.Text包含像'; DROP TABLE dbo.plans --这样的恶意内容会发生什么情况。由此产生的查询将是

SELECT CONVERT(varchar, CAST(plan_rate AS money), 1) 
FROM [dbo].[plans] 
WHERE plan_name = ''; 

DROP TABLE dbo.plans --' 

和您的plans表将被删除！

为了防止这种情况，而不是使用字符串连接一个参数化查询：

SqlCommand cmd = new SqlCommand("SELECT CONVERT(varchar, CAST(plan_rate AS money), 1) FROM [dbo].[plans] WHERE plan_name = @plan_name", conn); 
cmd.Parameters.AddWithValue("@plan_name", Dropdownbox1.Text); 

当您使用参数，SQL查询引擎将参数的值作为数据而不是作为一个可能的指令。在security.stackexchange.com上阅读great answer以了解其差异。

在不相关的说明中，没有必要为conn提供两条using语句;一个就足够了：

using (SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["CustomerDataConnectionString"].ConnectionString)) 
{ 
    conn.Open(); 

    SqlCommand cmd = new SqlCommand("SELECT CONVERT(varchar, CAST(plan_rate AS money), 1) FROM [dbo].[plans] WHERE plan_name = @plan_name", conn); 
    cmd.Parameters.AddWithValue("@plan_name", Dropdownbox1.Text); 
    Object result = cmd.ExecuteScalar(); 

    if (result != null) 
     Label6.Text = "Plan rate: $" + result.ToString(); 
    else 
     Label6.Text = "Plan is not available in this state."; 
}