Oбработкfa SQL Injection, можно ли сделать выборку в свою таблицу

@ZingZing · Регистрация: 13.12.2011

Author24 — интернет-сервис помощи студентам

Добрый день , уважаемые формучане ! Пишу с другом курсовой проект по ADO.NET , конвертер единиц измерения, так вот этот мой друг написал DAL на C# вручную (в том и состоит часть задания) . Примерно что то подобное

C#

1 2	int value = 1; SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

То что тут иньекция напрашиваеться , это понятно 1 or 0=0, или как то так. Но вот стало интересно , можно ли выбрать полученые данные (те которые у меня выдаст в результате такого "супер" , тоесть все) скажем в свою таблицу ! Что то на подобие

C#

1 2	int value = 1; SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value+"into [my_table] in [MySuperDataBase]");

Буду очень благодарен за ответ . Как избавить от иньекции пожалуйста не пишите , уже все переписал , используя параметры !

@nio · 02.02.2012, 12:55

Сообщение от ZingZing

Но вот стало интересно , можно ли выбрать полученые данные ....скажем в свою таблицу

Можно

SQL

1	INSERT INTO table1 SELECT * FROM table2

Добавлено через 36 секунд
Количество, порядок и тип столбцов в таблицах должны совпадать

@_katon_ · 05.02.2012, 21:50

Какая же тут инъекция. Если бы использовалась строковая переменная, тогда пожалуй.
Т.е. если было бы так:

C#

1 2	string value = "1 or 0"; SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

У тебя же типизация задана однозначно - integer.
еси попытаться записать,

C#

1 2	int value = "1 or 0"; SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

то у тебя будет сгенерировано исключение, что типа не могу сконвертировать string в int.

От инъекций избавляются именно благодаря строкой типизации. Тем более что запрос очень простой.

Вот это я если честно вообще не понял (в T-SQL я такого точно не видел)) ):

C#

1	"into [my_table] in [MySuperDataBase]"

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

	05.02.2012, 21:50