1. 首页
  2. 问答
  3. 使用ASP.net和Access数据库从SQL注入安全的网站

使用ASP.net和Access数据库从SQL注入安全的网站

2013-03-14 60 views
4

我目前有一个网站,具有正常的注册和登录,用ASP.net编码。 我正在使用Access数据库,而我的朋友使用C#类来处理大部分数据库操作(executeQuery,executeRead,isExits ...)。使用ASP.net和Access数据库从SQL注入安全的网站

现在我几乎完成了构建我的网站,我想开始添加安全性 - 主要是对我的数据库。我已经搜索了一段时间的关于这个主题的教程,但是我找不到任何好的exept旧的microsoft msdn文章,我不能真正地让它的代码工作。 我现在拥有的最远的地方就是不允许在用户名和密码中使用任何危险字符(例如', - ,;),但它有种感觉,好像它是我可以使用的更糟糕的解决方案(为什么我的用户不应该使用这些字符?)。

我认为我找到的最好的解决方案是在声明后将变量插入到查询字符串中(与“WHERE username = @ user”或类似的东西有关),但我无法获得它与Access和我的oleDBManager一起使用。

这是我目前的注册码。 handle()从字符串中删除所有',并且Validate()检查字符串中的危险部分。

 string username = user.Text; 
     string password = pass.Text; 
     bool isThingy = false; 
     if (handle(ref password)) isThingy = true; 
     if (handle(ref username)) isThingy = true; 

     if (username != "" && username != null) 
     { 
      if (password != "" && password != null) 
      { 
       if (Validate(username, password)) 
       { 
        if ((db.IsExist("SELECT * FROM Table1 WHERE username='" + username + "'") == false)) 
        { 
         int a = db.ExecuteQuery("INSERT INTO `Table1`(`username`, `password`, `logins`, `email`, `fname`, `lname`, `country`, `city`, `birthday`, `userid`) VALUES ('" + username + "', '" + password + "', '0', '', '', '', '', '', '', '" + Convert.ToString(Convert.ToInt32(db.ExecuteCellRead("SELECT MAX(userid) FROM Table1")) + 1) + "');"); 

         if (!isThingy) errorLabel.Text = "Your user has been successfully registered"; 
         else errorLabel.Text = "The ' token is invalid. your user was registered absence the '."; 
        } 
        else 
         errorLabel.Text = "This username is already taken"; 
       } 
       else errorLabel.Text = "Invalid name format"; 

      } 
      else errorLabel.Text = "Please enter a password"; 
     } 
     else errorLabel.Text = "Please enter a user name";

作为oleDBManager(在我的代码命名为DB):

private OleDbConnection link; // The link instance 
    private OleDbCommand command; // The command object 
    private OleDbDataReader dataReader; // The data reader object 
    private OleDbDataAdapter dataAdapter; // the data adapter object 
    private DataTable dataTable; // the data table object 
    private string dbName; // the Database filename 
    private int version; // the usersTableG office version 
    private string connectionString; // the connection string for the database connection 
    private string provider; // the matching driver string for the connection string 
    private string path; // the path to the database file 


... 


    public int ExecuteQuery(string query) 
    { 
     this.link.Open(); 
     int rowsAffected; 
     // --- 
     this.command = new OleDbCommand(query, this.link); 
     try 
     { 
      rowsAffected = this.command.ExecuteNonQuery(); 
     } 
     catch (InvalidOperationException e) 
     { 
      if (e.Data == null) 
       throw; 
      else 
       rowsAffected = -1; 
     } 
     finally 
     { 
      this.command.Dispose(); 
      this.link.Close(); 
     } 
     // --- 
     return rowsAffected; 
    } 

    public bool IsExist(string query) 
    { 
     this.link.Open(); 
     // --- 
     this.command = new OleDbCommand(query, this.link); 
     this.dataReader = this.command.ExecuteReader(); 
     bool a = this.dataReader.Read(); 
     // --- 
     this.command.Dispose(); 
     this.link.Close(); 
     // --- 
     return a; 
    } 

    public string ExecuteCellRead(string query) 
    { 
     string output = ""; 
     this.dataTable = this.ExcecuteRead(query); 

     foreach (DataRow row in this.dataTable.Rows) 
     { 
      foreach (object obj in row.ItemArray) 
      { 
       output += obj.ToString(); 
      } 
     } 

     return output; 
    }

所以,你可能会看到,主要的问题是,用户现在不能使用字符”。 它假设最好的解决方案是在SQL查询中使用@变量,但我不知道如何。

[感谢您的帮助] PS。我已经改变了我的表格的名称;)

编辑:你们大多数人告诉我要使用这些参数化查询,但如果你能给我一个如何使用它们的例子,做到这一点

所以,感谢@Remou,我FINAL代码:

db.DoWeirdStackOverFlowStuff(
    "INSERT INTO `Table1`(`username`, `password`, `logins`) VALUES (@username, @password, '0');" 
    , new string[] { "@username", "@password" } 
    , new string[] { username, password }); 


public int DoWeirdStackOverFlowStuff(string query, string[] vars, string[] reps) 
    { 
     this.link.Open(); 
     int rowsAffected; 
     // --- 
     this.command = new OleDbCommand(); 
     this.command.CommandText = query; 
     this.command.CommandType = System.Data.CommandType.Text; 
     this.command.Connection = this.link; 

     //Parameters in the order in which they appear in the query 
     for (int i = 0; i < vars.Length; i++) 
      this.command.Parameters.AddWithValue(vars[i], reps[i]); 

     try 
     { 
      rowsAffected = this.command.ExecuteNonQuery(); 
     } 
     catch (InvalidOperationException e) 
     { 
      if (e.Data == null) 
       throw; 
      else 
       rowsAffected = -1; 
     } 
     finally 
     { 
      this.command.Dispose(); 
      this.link.Close(); 
     } 
     // --- 
     return rowsAffected; 
    }

用于任何需要这种=]

来源

2013-03-14 Noam Gal

+1

Visual Studio和在线MSDN都有参数化的sql命令的简单示例。 – Igor 2013-03-14 16:05:12

+0

这里是SQL注入预防的介绍https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet(我知道它不是.NET特定的,但校长是相同的) – BLSully 2013-03-14 16:06:07

+2

使用参数化的sql命令。黑名单字符不会阻止你从sql注入。你应该只在你的数据库中保存密码哈希值。不是他们自己的密码。并用盐来保护它们。 – Peter 2013-03-14 16:09:59

回答

1

的一些注意事项

在MS Access,我已要求UpdateUser两个保存的查询,它看起来像这样:

 UPDATE INTERNETSETTINGS 
     SET url = [@url], 
      databasename = [@databasename], 
      port = [@port], 
      username = [@username], 
      [password] = [@password]

我可以参照此查询的名字在我的代码,使用命令对象:

 OleDbCommand Command = new OleDbCommand(); 

     Command.CommandText = "UpdateUser"; //saved query 
     Command.CommandType = System.Data.CommandType.StoredProcedure; 
     Command.Connection = cn; //a connection to the database 

     //Parameters in the order in which they appear in the query 
     Command.Parameters.AddWithValue("@url", "a"); //a,b,c etc for my test run 
     Command.Parameters.AddWithValue("@databasename", "b"); 
     Command.Parameters.AddWithValue("@port","c"); 
     Command.Parameters.AddWithValue("@username", "d"); 
     Command.Parameters.AddWithValue("@password", "e"); 

     Command.ExecuteNonQuery();

来源

2013-03-14 16:45:50 Fionnuala

+0

我还没有真正得到进入Web编程的这一部分,因为我已经有准备的C#类做一切对我来说,我很抱歉,如果我是一个有点慢。查询在你写的代码中出现在哪里? (请问我用它代替“UpdateUser”吗?) 感谢 这样的快速帮助,“a”,“b”,“c”和其他的应该用真实变量代替,right只是检查) – 2013-03-14 16:53:49

+1

我已经添加了一些额外的笔记。你可以有CommandString的sql字符串或保存的查询,你需要使用适当的CommandType。保存的查询是最好的,因为你可以测试它们,而且它们不会混淆你的代码。只需使用查询名称。至于参数,名称并不重要,除了作为提示,但你必须按照正确的顺序。正如你所说,a,b,c等用于测试,并且我建议你按照你想要的方式做类似的事情。再次 – Fionnuala 2013-03-14 17:06:04

+0

感谢您的帮助,但是,还有一个问题 - 当我运行它打破的'Command.ExecuteNonQuery()的代码;'行,并称“预期的查询名称后执行”。我将在一分钟内添加我当前的代码。 – 2013-03-14 17:18:26

0

我不记得访问是否做同样的事情与SQL Server在这里,但在SQL Server中,你可以通过它加倍逃避单引号:

username = username.Replace("'", "''");

因此,您可以在字符串中包含单引号标记,您可以将它们存储在数据库中,并且它们不能用作恶意字符串终结符。

来源

2013-03-14 16:12:05 criticalfix

+0

,但然后再次用户名更改(可以说从“乔的”到“乔的'”,是不是很好 – 2013-03-14 16:17:42

+0

实际上 - 它并没有什么被写入到数据库中的字段是“乔氏”但你要记住,每次使用SQL这个值的时候做更换尽管如此,参数化查询是。正确的方法来解决这个问题 – Igor 2013-03-14 16:21:20

+0

这种方法,虽然聊胜于无,仍是不可战胜的,根据一些 - 检查出[这个答案和链接](http://stackoverflow.com/a/139810/111266)其中某种时髦的Unicode劈勾销报价 - 翻译技术。 – 2013-03-14 16:41:27

相关问题

 相关问题