Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Предотвращение SQL-инъекций в C#: .NET методы и решения

Быстрый ответ

Для защиты от SQL-инъекций нужно использовать параметризованные запросы. В этих запросах данные от пользователя вводятся не напрямую, а посредством плейсхолдеров (?), которым значения присваиваются позже самой системой управления базами данных. Можно привести вот такой пример на Python, где используется библиотека psycopg2:

Python
Скопировать код
cur = conn.cursor()
cur.execute("SELECT * FROM users WHERE username = %s AND password = %s", (username, password))

Важные моменты: Всегда разделяйте код команды и данные, не встраивайте информацию, которую вводит пользователь, непосредственно в запросы. Используйте подготовленные выражения, связывание параметров, проводите валидацию введенных данных и устанавливайте ограничения по типам данных, чтобы гарантировать безопасность вашего приложения.

Кинга Идем в IT: пошаговый план для смены профессии

Применение параметризованных запросов

SqlCommand и SqlParameter для героев .NET

Если вы работаете на платформе .NET, то безусловно, нужно использовать комбинацию SqlCommand и SqlParameter. Она обеспечивает надежную защиту против SQL-инъекций благодаря строгой типизации данных с помощью SqlDbType:

cs
Скопировать код
using(var connection = new SqlConnection(connectionString))
{
    var command = new SqlCommand("SELECT * FROM Users WHERE Username = @username AND Password = @password", connection);
    command.Parameters.Add("@username", SqlDbType.NVarChar).Value = username; 
    command.Parameters.Add("@password", SqlDbType.NVarChar).Value = password; 
    connection.Open();
    command.ExecuteNonQuery();
}
Подробнее об этом расскажет наш спикер на видео
skypro youtube speaker

ORM для тех, кто не желает углубляться в SQL

Такие инструменты ORM, как Entity Framework или NHibernate, скрывают детали написания SQL-кода и автоматически используют параметризованные запросы, снижая риск SQL-инъекций.

cs
Скопировать код
var user = context.Users.FirstOrDefault(u => u.Username == username && u.Password == password); // Ищем пользователя

Визуализация

Вот наглядная аналогия того, как предотвращается SQL-инъекция:

Markdown
Скопировать код
Представьте, что базы данных — это дома (🏠), а SQL-инъекция — это дверь, которую забыли закрыть на замок (🚪🔓):

"SELECT * FROM users WHERE name = '💬';"

Полезные материалы

  1. OWASP Cheat Sheet Series — советы по противодействию SQL-инъекциям от экспертов OWASP.
  2. bobby-tables.com: руководство по защите от SQL-инъекций — набор полезных рекомендаций и примеров реализации параметризованных запросов для защиты от SQL-инъекций.
  3. Использование подготовленных выражений (Java Tutorials > JDBC Database Access > JDBC Basics) — официальная документация Java, где рассказывается о подготовленных выражениях в JDBC.
  4. SQL Injection Attacks and Defense – 2nd Edition — подробный анализ стратегий по защите от атак SQL-инъекций.
  5. SQL Injection | Microsoft Learn — рекомендации Microsoft по наилучшим практикам предотвращения SQL-инъекций.
  6. PHP: Подготовленные выражения – Руководство — руководство PHP по использованию подготовленных выражений для повышения безопасности приложений.
  7. Hibernate ORM User Guide — руководство по применению Hibernate ORM для предотвращения SQL-инъекций в Java-приложениях.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Какой метод наиболее эффективен для предотвращения SQL-инъекций в C#?
1 / 5