我有一些代码访问SQL Server数据库中的表:
...
if (GetViewNames(connection).Contains(name))
{
query = "SELECT * FROM [" + name + "]";
}
...
这是"GetViewNames":
private ListGetViewNames(SqlConnection connection) { List viewNames = new List (); foreach (DataRow row in connection.GetSchema("Views").Rows) { // The third element in the "rows" array is the name of the view. viewNames.Add(row[2].ToString()); } return viewNames; }
我想知道的是这个代码是否对SQL注入开放.name是一个通过URL传递的字符串(坏,我知道),但它只会查询数据库,如果name在我的表列表中,对吧?或者我在这里遗漏了什么?
我不是安全专家,所以请善待您的回复.
没有什么能阻止你创建一个名为的视图users];DROP TABLE [users.应该清楚使用此视图名称执行代码时会发生什么.
如果您的所有观点都是由您自己命名的,那么可以保证它的安全,但我建议您使用QUOTENAME以防万一.
京公网安备 11010802040832号 | 京ICP备19059560号-6 