C# 使用Parameter來避免SQL Injection問題

作者: -
一般常用的SQL查詢語法,若有需要Client端指定參數名稱,都是使用組字串的方式來達成,但若遇到使用者輸入的資料包含了特殊符號,尤其是單引號,SQL就會出錯,嚴重還會有資安的問題,最好的方法就是使用Parameter的方式來加入參數,這個方法最大的好處是,若資料包含單引號,系統也不會有問題,也可以正常將單引號寫入Table(類以系統自己將1個單引號取代為2個單引號後寫入Table)。

範例如下(使用MSSQL為範例):

string sql = "select * from table where a = :a";
using (OleDbConnection Conn = new OleDbConnection(_dbConnString))
{
    Conn.Open();

    using (OleDbCommand oraCmd = new OleDbCommand(sql, Conn))
    {
        oraCmd.Parameters.Add("a", OleDbType.VarChar, 20).Value = "1234";
        OleDbDataAdapter da = new OleDbDataAdapter(oraCmd);
        DataSet ds = new DataSet();
        da.Fill(ds);
        DataTable dtResult = ds.Tables[0];

        Console.WriteLine("data row = " + dtResult.Rows.Count.ToString());
        Console.ReadKey();

    }
    Conn.Close();
}

而SQL的Parameter符號依每個資料庫或連線方式而有所不同。

  • .Net For Oracle:使用冒號(:) + Parameter名稱 (若傳入空字串,要先轉為DBNull.Value)
  • .Net For MSSQL:使用小老鼠(@) + Parameter名稱
  • ODBC:使用問號(?),因為不需指定Parameter名稱,所以是依序配對

refference web:
http://stackoverflow.com/questions/11048910/oraclecommand-sql-parameters-binding
http://www.dotblogs.com.tw/jeff-yeh/archive/2009/06/22/8946.aspx


留言

張貼留言

這個網誌中的熱門文章

ORA-12514: TNS: 監聽器目前不知道連線描述區中要求的服務

作者: -
圖片
環境: [Server] Windows 2008 Server Oracle Database 11g R2 [Client] Windows 7 Oracle Client 11g R2 Oracle Database安裝完後,在Client電腦也完成Oracle Client安裝,tnsnames.ora的配置也都完成了,但是使用sqlplus連線DB時卻出現下面的錯誤訊息。 在排除此問題前先確認,在Oracle Database 的本機使用sqlplus是可以連線的,由此先確定Database Service是有正常運作的。 目前遇過幾個況狀會導致這個錯誤訊息。 <狀況1>Server的主機網域(domain)錯誤或未指定,導致解析不到SID tnsnames.ora的SERVICE_NAME必需加入網域名稱 <狀況2>Oracle Database Listener未定設SID 1. 登入sys帳號後,利用下面指令可以查出SID名稱。 select instance_name from v$instance; INSTANCE_NAME ---------------- aehome 2. 檢查lListener服務狀態 發現沒有aehome的Listener,所以Client端才會無法利用TNS Name的方式連線。 3. 修改listener.ora,加入aehome的監聽。 4. 重新啟動Listener 重啟後發現已經有監聽aehome了。 5. 此時Client已可以正常使用sqlplus連線了。
閱讀完整內容

Oracle 例外控制(Exception Control)

作者: -
寫Oracle Stored Procedure時, 也和一般程式開發一樣, 也會遇到邏輯例外而需要控制。 1. Oracle已存在Exception例外處理 DECLARE l_row abc%ROWTYPE; BEGIN BEGIN select * INTO l_row from abc where abc01='123@asd'; EXCEPTION WHEN NO_DATA_FOUND THEN DBMS_OUTPUT.put_line('--> NO_DATA_FOUND err is ' || SQLERRM); WHEN OTHERS THEN DBMS_OUTPUT.put_line('--> OTHER err is ' || SQLERRM); END; END; ** 則會顯示 "--> NO_DATA_FOUND err is ORA-01403: no data found" ** 如果沒有處理"WHEN NO_DATA_FOUND THEN", 則會跑到"OTHERS"中 1.1 Oracle已存在Exception例外處理(但自定Exception名稱) DECLARE l_row abc%ROWTYPE; my_no_data_found_exp EXCEPTION; PRAGMA EXCEPTION_INIT(my_no_data_found_exp, -01403); --no data found Exception BEGIN BEGIN select * INTO l_row from abc where abc01='123@asd'; EXCEPTION WHEN my_no_data_found_exp THEN DBMS_OUTPUT.put_line('--> NO_DATA_FOUND err is ' || SQLERRM); WHEN OTHE...
閱讀完整內容

Oracle 工作排程 DBMS_JOB 筆記

作者: -
1. 設定初始化參數 job_queue_processes : oracle 允許執行的最大任務數量 specifies the maximum number of processes that can be created for the execution of jobs. It specifies the number of job queue processes per instance (J000, ... J999). 最大值為 1000 sql> alter system set job_queue_processes=n; (n>0) 2. 查詢背景執行程序 sql> select name, description from v$bgprocess 3. 建立function or Stored Procedure 4. 執行程序 declare jobno number; begin dbms_job.submit(jobno, 'sp_test_alex;', sysdate, 'sysdate+1/1440'); dbms_output.put_line(jobno); commit; end; / 另一種寫法 declare jobno number; begin dbms_job.submit( job => :jobno, what => 'SP_SYNC_MES_ITEM;', next_date => SYSDATE, interval => 'SYSDATE + 10/1440' ); dbms_output.put_line(jobno); commit; end; 5. 查詢執行程序 sql> select * from user_jobs; 6.  移除程序 begin dbms_job.remove(141); end; / 7. 暫停程序 begin dbms_job.brok...
閱讀完整內容