这种方法可以安全使用吗?

时间:2017-02-11 16:08:30

标签: c# sql asp.net sql-server

我使用SQL Server和ASP.NET相当新,所以我担心SQL注入或其他威胁。我有一个引用SqlDataSource的FormView,其中FormView具有代码隐藏逻辑,可防止未经授权的用户更改数据库。这种方法是否安全使用:

<asp:SqlDataSource ID="SqlDataSource1" runat="server" 
     ConnectionString="<%$ ConnectionStrings:DefaultConnection %>" 
     SelectCommand="SELECT Ads.AdId, Ads.UserId, Ads.Title, Ads.Summary, Ads.Description, Ads.ImageId, Ads.Price, Ads.MapRadius, Ads.Latitude, Ads.Longitude, Users.UserName FROM Ads INNER JOIN Users ON Users.UserId = Ads.UserId WHERE ([AdID] = @AdID)" UpdateCommand="UPDATE Ads SET Title = @Title, Summary = @Summary, Description = @Description, Price = @Price, Ads.MapRadius = @MapRadius, Latitude = @Latitude, Longitude = @Longitude, DateModified = @DateModified WHERE ([AdID] = @AdID)" OnSelecting="SqlDataSource1_Selecting">
     <SelectParameters>
         <asp:QueryStringParameter Name="AdID" QueryStringField="Ad" Type="String" />
     </SelectParameters>
     <UpdateParameters>
         <asp:Parameter Name="Title" />
         <asp:Parameter Name="Summary" />
         <asp:Parameter Name="Description" />
         <asp:Parameter Name="Price" DbType="Double" />
         <asp:Parameter Name="MapRadius" DbType="Double" />
         <asp:Parameter Name="Latitude" DbType="Double" />
         <asp:Parameter Name="Longitude" DbType="Double" />
         <asp:Parameter Name="DateModified" DbType="DateTime" />
     </UpdateParameters>
</asp:SqlDataSource>

网址可能是这样的:

domain.com/Display?Ad=314c226b-6dfd-4fd7-997b-2ec25d18c0c2

更具体地说,我关心的是使用查询字符串作为参数。对于更一般的问题,如果我没有使用<UpdateParameters><InsertParameters>,那么在使用asp:SqlDataSource时甚至会出现SQL注入的风险?

谢谢!

1 个答案:

答案 0 :(得分:3)

使用<UpdateParameters><InsertParameters>有助于防止SQL注入,并且您使用它们是正确的。

相关问题
最新问题