使用纯字符串时是否可以避免SQL注入攻击?

时间:2013-09-24 06:54:51

标签: c# .net sql database sql-injection

我目前正在与传统SDK进行交互,后者用于控制手持阅读器硬件。它是商业SDK和产品,因此除了通过此SDK之外,无法访问硬件。

我正在尝试在手持阅读器的数据库上运行SQL查询,SDK只提供了一种方法,具有以下签名:

handReader.QueryDB(string sqlStatement);

这意味着任何查询都可以以字符串的形式传递给该方法。虽然这很简单,但它会立即指向可能的SQL注入攻击。

我无法访问该方法的工作方式,因此无法查看是否在其中进行了任何详细的SQL预防。因此,我想找到一种方法来对字符串进行参数化,类似于使用SqlCommand类的参数化查询。

这可能吗?

1 个答案:

答案 0 :(得分:0)

我实现了一个字符串格式,可以使用名称而不是数字 这是我的sql字符串:

string sqlStr = @"select * from Table1 t1
where t1.field1 = @Field1 and IsActive = 1";

int F1 = 12; 
sqlStr = sqlStr.NamedStringFormatSQL(new
        {
            Field1 = F1
        });

这是格式化程序的代码:

public static Dictionary<string, object> AnonymousToDictionary(object value)
    {
        Dictionary<string, object> dic = new Dictionary<string, object>(StringComparer.OrdinalIgnoreCase);
        if (value != null)
        {
            foreach (PropertyDescriptor descriptor in TypeDescriptor.GetProperties(value))
            {
                object obj2 = descriptor.GetValue(value);
                dic.Add(descriptor.Name, obj2);
            }
        }
        return dic;
    }


   public static string NamedStringFormatSQL(this string aString, object replacements)
        {
            Dictionary<string, object> keyValues = AnonymousToDictionary(replacements);
            foreach (var item in keyValues)
            {
                string val = item.Value == null ? "null" : item.Value.ToString();
                aString = aString.Replace("@" + item.Key, val);
            }
            return aString;

        }