防止SQL注入在asp.net

Question

我具有以下的认证方法：

protected void Button1_Click(object sender, EventArgs e) 
     {    
      string s; 
      s = ConfigurationManager.ConnectionStrings["ConnectionString"].ConnectionString; 
      SqlConnection con = new SqlConnection(s); 
      con.Open(); 
      string sqlCmd; 
      sqlCmd = "SELECT Username, UserPassword FROM Benutzer WHERE Username = @Username AND UserPassword =@Password"; 
      SqlCommand cmd = new SqlCommand(sqlCmd, con); 
      String username = tbUsername.Text.Replace("'", "''"); 
      String password = tbPassword.Text.Replace("'", "''"); 
      cmd.Parameters.AddWithValue("Username", username); 
      cmd.Parameters.AddWithValue("Password", password); 
      string CurrentName; 
      CurrentName = (string)cmd.ExecuteScalar(); 
      if (CurrentName != null) 
      { 
       Session["UserAuthentication"] = cmd.Parameters[0].ToString(); 
       Session.Timeout = 1; 
       Response.Redirect("Default.aspx"); 
      } 
      else 
      { 
       lblStatus.ForeColor = System.Drawing.Color.Red; 
       lblStatus.Text = "Benuztername/Password ungültig!"; 
      } 
     } 

是这足以防止SQL注入？我以前只是用户名和密码，直接进入命令是这样的：

sqlCmd = "SELECT Username, UserPassword FROM Benutzer WHERE Username ='" + username + "' AND UserPassword ='" + pwd + "'"; 

其中username和pwd那里只是字符串变量中的用户名和密码文本框的内容保存...

编辑：

确定我已经编辑我的代码现在看起来是这样的：

protected void Button1_Click(object sender, EventArgs e) 
     { 
      SqlConnection objcon = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings["ConnectionString"].ToString()); 
      SqlDataAdapter objda = new SqlDataAdapter("[MembershipPruefen]", objcon); 
      objda.SelectCommand.CommandType = CommandType.StoredProcedure; 
      objda.SelectCommand.Parameters.Add("@Username", SqlDbType.VarChar).Value = tbUsername.Text; 
      objda.SelectCommand.Parameters.Add("@UserPassword", SqlDbType.VarChar).Value = tbPassword.Text; 
      objcon.Open(); 
      string CurrentName; 
      CurrentName = (string)objda.SelectCommand.ExecuteScalar(); 
      if (CurrentName != null) 
      { 
       Session["UserAuthentication"] = tbUsername.Text; 
       Session.Timeout = 1; 
       Response.Redirect("Default.aspx"); 
      } 
      else 
      { 
       lblStatus.ForeColor = System.Drawing.Color.Red; 
       lblStatus.Text = "Benuztername/Password ungültig!"; 
      } 
      objcon.Close();    
     } 

这是我的存储过程：

CREATE PROCEDURE MembershipPruefen (@Username VARCHAR(50), @UserPassword VARCHAR(50)) 
AS 

SELECT Username, UserPassword FROM Benutzer WHERE Username LIKE @Username AND UserPassword LIKE @UserPassword; 

这就够了吗？我的网络应用程序是否可以安全地防止SQL入侵或者还有什么可做的事情？

Answer 1

使用预处理语句：

SqlCommand.Prepare

MSDN

Answer 2

使用存储过程，只返回一个值来表示它存在于数据库中（即行计数），或者如果您需要使用会话数据的用户名等，然后只是返回用户名。

这表明更小的DB数据的用户:)

对于信息存储过程：http://support.microsoft.com/kb/306574

Answer 3

使用参数化查询（SqlCommand时使用的SqlParameter），并把用户输入的参数。 不要从未经检查的用户输入中构建SQL字符串。 不要以为你可以建立一个消毒程序，可以检查用户输入的每一种格式错误。边缘情况很容易被遗忘。检查数字输入可能很简单，可以让您安全起见，但对于字符串输入只需使用参数。 检查二级漏洞 - 如果这些值由用户输入组成，请不要从SQL表值中构建SQL查询字符串。 使用存储过程来封装数据库操作。

或者使用Prepared语句，它们将使用ORM形成，如Linq to SQL或NHibernate，它们在内部使用预准备语句。

Answer 4

我会创建一个专用的sql服务器用户连接到数据库（我想你现在正在与'萨'连接？）。

这意味着你将一个新用户添加到没有权限的数据库中，并且当你第一次运行应用程序时，你会得到一个sql异常，如预期的那样说你没有读取权限。 您授予对新建用户的'Benutzer'表的SELECT权限等。

当您这样做时，即使您的连接受到攻击，攻击者也无法执行系统存储过程等。

还有一件事：建议您散列密码，这样您的密码就永远不会以真实的文字读取。 这是一篇大文章，我看到你没有太多时间，但我强烈建议你实施哈希密码。 http://crackstation.net/hashing-security.htm

编辑：我在您的存储过程中看到一个LIKE，我会指出=，用户必须输入正确的密码！

而我看到你从一个sql语句改变为一个存储过程：在前面的文本中，将表上的SELECT权限更改为存储过程的EXECUTE权限。