我使用SQL Server和ASP.NET相当新,所以我担心SQL注入或其他威胁。我有一个引用SqlDataSource的FormView,其中FormView具有代码隐藏逻辑,可防止未经授权的用户更改数据库。这种方法是否安全使用:
<asp:SqlDataSource ID="SqlDataSource1" runat="server"
ConnectionString="<%$ ConnectionStrings:DefaultConnection %>"
SelectCommand="SELECT Ads.AdId, Ads.UserId, Ads.Title, Ads.Summary, Ads.Description, Ads.ImageId, Ads.Price, Ads.MapRadius, Ads.Latitude, Ads.Longitude, Users.UserName FROM Ads INNER JOIN Users ON Users.UserId = Ads.UserId WHERE ([AdID] = @AdID)" UpdateCommand="UPDATE Ads SET Title = @Title, Summary = @Summary, Description = @Description, Price = @Price, Ads.MapRadius = @MapRadius, Latitude = @Latitude, Longitude = @Longitude, DateModified = @DateModified WHERE ([AdID] = @AdID)" OnSelecting="SqlDataSource1_Selecting">
<SelectParameters>
<asp:QueryStringParameter Name="AdID" QueryStringField="Ad" Type="String" />
</SelectParameters>
<UpdateParameters>
<asp:Parameter Name="Title" />
<asp:Parameter Name="Summary" />
<asp:Parameter Name="Description" />
<asp:Parameter Name="Price" DbType="Double" />
<asp:Parameter Name="MapRadius" DbType="Double" />
<asp:Parameter Name="Latitude" DbType="Double" />
<asp:Parameter Name="Longitude" DbType="Double" />
<asp:Parameter Name="DateModified" DbType="DateTime" />
</UpdateParameters>
</asp:SqlDataSource>
网址可能是这样的:
domain.com/Display?Ad=314c226b-6dfd-4fd7-997b-2ec25d18c0c2
更具体地说,我关心的是使用查询字符串作为参数。对于更一般的问题,如果我没有使用<UpdateParameters>或<InsertParameters>,那么在使用asp:SqlDataSource时甚至会出现SQL注入的风险?
谢谢!
答案 0 :(得分:3)
使用<UpdateParameters>和<InsertParameters>有助于防止SQL注入,并且您使用它们是正确的。