防止插入SQL注入

Question

我正在寻找一些提示来防止SQL注入。我在一个论坛上被告知我的代码不安全，并且正在寻找一个能够帮助我解决问题的人。

我有一个webform，并提交到aspx.cs页面，并将数据插入ms sql数据库。

protected void Submit_Click(object sender, EventArgs e) 
    { 
     string FullStartTime = StartTimeHourList.SelectedValue + ":" + StartTimeMinuteList.SelectedValue + " " + StartTimeAMList.SelectedValue; 
     string FullEndTime = EndTimeHourList.SelectedValue + ":" + EndTimeMinuteList.SelectedValue + " " + EndTimeAMList.SelectedValue; 

     OleDbConnection conn; 
     OleDbCommand cmd; 
     conn = new System.Data.OleDb.OleDbConnection(""); 
     cmd = new System.Data.OleDb.OleDbCommand(); 
     conn.Open(); 
     cmd.Connection = conn; 
     var sql = String.Format(@"INSERT INTO FormTable1 (Nonprofit, Contact, Phone, Email, Event, StartDate, EndDate, StartTime, EndTime, Place, Comments, SubmitDate) values 
                  ('{0}','{1}','{2}','{3}','{4}','{5}','{6}','{7}','{8}','{9}','{10}','{11}')", 
                  NonprofitTxtBox.Text, ContactTxtBox.Text, PhoneTxtBox.Text, EmailTxtBox.Text, EventTxtBox.Text, 
                  StartDateTxtBox.Text, EndDateTxtBox.Text, FullStartTime, FullEndTime, PlaceTxtBox.Text, CommentsTxtBox.Text, DateTime.Now); 
     cmd.CommandText = sql; 
     cmd.ExecuteNonQuery(); 
     conn.Close(); 
} 

Answer 1

最简单的解决方法是通过连接字符串连接在一起，而是使用PARAMS根本不构建 SQL。如果您使用的是SqlCommand，则可以执行以下操作，否则请按照@MarcB的建议操作

SqlCommand cmd = new SqlCommand("INSERT dbo.Table (field1, field2, field3) VALUES (@f1, @f2, @f3)", conn); 

cmd.Paramters.Add("@f1", SqlDbType.VarChar, 50).Value = "abc"; 
cmd.Paramters.Add("@f2", SqlDbType.Int).Value = 2; 
cmd.Paramters.Add("@f3", SqlDbType.VarChar, 50).Value = "some other value";