SQL注入是否适用于winforms?
我在c#中制作一个Windows软件。 我已经阅读了关于sql-injection但是我没有发现它正在处理我的应用程序。
SQL注入是否适用于winforms?
如果是,如何防止它们。
编辑:我使用文本框来读取用户名和密码。 通过使用textboxex我发现文本框中的文本在双引号( "" )之间。 所以我没有发现它有效。
当我在文本框中使用引号" OR '时,文本被读作\" OR \'
例:
................... USER NAME: | a" OR "1"=="1 | ``````````````````` // it is read as textBox1.Text = "a\" OR \"1\"==\"1";
SQL注入是一般问题,不依赖于任何技术。 如果您使用.NET并希望阻止SQL注入,请始终使用SqlParameter而不是字符串连接。
是。 防止它的最简单方法是将SqlParameter用于发送到数据库的任何用户输入。 或者,不要使用SqlDataAdapter并使用entity framework。
SQL注入是由于在动态构建的SQL语句中直接使用用户输入引起的(称为动态SQL),这使用户能够打破SQL或“注入”自己的SQL代码。
使用存储过程或带参数的SQL可以解决这个问题。
所以,如果SQL以这种方式编码,这可能会在winforms中发生。