我目前正在与传统SDK进行交互,后者用于控制手持阅读器硬件。它是商业SDK和产品,因此除了通过此SDK之外,无法访问硬件。
我正在尝试在手持阅读器的数据库上运行SQL查询,SDK只提供了一种方法,具有以下签名:
handReader.QueryDB(string sqlStatement);
这意味着任何查询都可以以字符串的形式传递给该方法。虽然这很简单,但它会立即指向可能的SQL注入攻击。
我无法访问该方法的工作方式,因此无法查看是否在其中进行了任何详细的SQL预防。因此,我想找到一种方法来对字符串进行参数化,类似于使用SqlCommand
类的参数化查询。
这可能吗?
答案 0 :(得分:0)
我实现了一个字符串格式,可以使用名称而不是数字 这是我的sql字符串:
string sqlStr = @"select * from Table1 t1
where t1.field1 = @Field1 and IsActive = 1";
int F1 = 12;
sqlStr = sqlStr.NamedStringFormatSQL(new
{
Field1 = F1
});
这是格式化程序的代码:
public static Dictionary<string, object> AnonymousToDictionary(object value)
{
Dictionary<string, object> dic = new Dictionary<string, object>(StringComparer.OrdinalIgnoreCase);
if (value != null)
{
foreach (PropertyDescriptor descriptor in TypeDescriptor.GetProperties(value))
{
object obj2 = descriptor.GetValue(value);
dic.Add(descriptor.Name, obj2);
}
}
return dic;
}
public static string NamedStringFormatSQL(this string aString, object replacements)
{
Dictionary<string, object> keyValues = AnonymousToDictionary(replacements);
foreach (var item in keyValues)
{
string val = item.Value == null ? "null" : item.Value.ToString();
aString = aString.Replace("@" + item.Key, val);
}
return aString;
}