参数化查询是一种通过使用参数占位符来构建SQL语句的方法,而不是直接拼接用户输入。它能有效防止SQL注入攻击,因为数据库会将参数值作为纯数据处理,不会解析为SQL代码。
为什么需要参数化查询?
当应用程序直接将用户输入拼接到SQL语句中时,攻击者可以输入恶意字符串来改变SQL逻辑。例如:
用户名输入:' OR '1'='1如果SQL是拼接的,可能变成:
SELECT * FROM Users WHERE Username = '' OR '1'='1' --'这会导致所有用户数据被查出,造成安全漏洞。
在C#中如何实现参数化查询
C#中使用 SqlCommand 配合 SqlParameter 可以轻松实现参数化查询。以下是具体做法:
使用 SqlCommand 和 SqlParameter 示例:
using (SqlConnection conn = new SqlConnection(connectionString))
{
conn.Open();
string sql = "SELECT * FROM Users WHERE Username = @username AND Password = @password";
<pre class='brush:php;toolbar:false;'>using (SqlCommand cmd = new SqlCommand(sql, conn))
{
cmd.Parameters.AddWithValue("@username", userInputUsername);
cmd.Parameters.AddWithValue("@password", userInputPassword);
using (SqlDataReader reader = cmd.ExecuteReader())
{
while (reader.Read())
{
// 处理结果
}
}
}}
关键点说明:
@username 和 @password 是参数占位符,不是字符串拼接 AddWithValue 方法自动处理类型和转义,避免注入 即使用户输入包含单引号或SQL关键字,也会被当作普通文本处理推荐使用方式(更安全)
虽然 AddWithValue 简单易用,但建议明确指定参数类型和长度,避免类型推断错误:
cmd.Parameters.Add("@username", SqlDbType.VarChar, 50).Value = userInputUsername;
cmd.Parameters.Add("@password", SqlDbType.VarChar, 100).Value = userInputPassword;
这样可以防止因数据类型不匹配导致的潜在问题,也更利于数据库执行计划重用。
基本上就这些。只要坚持使用参数化查询,而不是字符串拼接,就能从根本上杜绝大多数SQL注入风险。
