我有一些代码可以访问SQL Server数据库中的表:
...
if (GetViewNames(connection).Contains(name))
{
query = "SELECT * FROM [" + name + "]";
}
...
这是“GetViewNames”:
private List<string> GetViewNames(SqlConnection connection)
{
List<string> viewNames = new List<string>();
foreach (DataRow row in connection.GetSchema("Views").Rows)
{
// The third element in the "rows" array is the name of the view.
viewNames.Add(row[2].ToString());
}
return viewNames;
}
我想知道的是这个代码是否对SQL注入开放。 name是一个通过URL传递的字符串(糟糕,我知道),但是如果name在我的表列表中,它只会查询数据库,对吗?或者我在这里遗漏了什么?
我不是安全专家,所以请善意回复。
答案 0 :(得分:5)
没有什么可以阻止您创建名为users];DROP TABLE [users的视图。应该清楚使用此视图名称执行代码时会发生什么。
如果您的所有观看次数都是由您自己命名的,则可以保证其安全,但我建议您使用QUOTENAME以防万一。