シングルクォートを含むSQL Serverに文字列データを保存する最も良い方法は何ですか

Question

データを処理してSQL Serverに格納する必要があるC＃プログラムがあります。私が抱えている問題は、保存されているデータの一部に合法的に一重引用符が含まれていることです。データを保存するときには、一重引用符を含む項目を探し、二重引用符で一重引用符を置き換えて、切り捨てられた文字列を取得しないようにする必要があります。

私は私がFSQという静的モジュールに持って次のルーチンを通過させています単一引用符が含まれている可能性のあるデータを追加していwhereever現時点では、このルーチンである（単一引用符を修正）：

/// <summary> 
/// Fix Single Quote - Used to remove Double quotes from strings that would confuse Access database by replacing with Single Quotes. 
/// </summary> 
/// <param name="s">String text to be fixed by removing double quotes.</param> 
/// <returns>The original string with any double-quotes removed and replaced with single quotes. If an error occurs will return an empty string.</returns> 
public static string FSQ(string s) 
{ 
    string tmp =""; 

    try 
    { 
     if (s == null) 
      return ""; 

     s = s.Trim(); 

     if (s == "") 
      return s; 

     if(s.Contains("'")) 
     { 
      if(!s.Contains("''"))//Already been fixed previously so skip here 
       tmp = s.Replace("'", "''"); 

       s = tmp; 
     } 

     return s; 


    } 
    catch (Exception ex) 
    { 
     PEH("FDQ", "Common Module", ex.Message); 
     return ""; 
    } 
} //public static String FDQ(String s) 

これは機能し、私の文字列はOKにSQLに保存されますが、このルーチンへの呼び出しがたくさんあるので、プログラムは処理中に何千もの行のデータをループします。

この関数を呼び出す必要性を否定するより効率的なルーチンがありますか？ほとんどの場合、これらの項目を含むクエリを更新または挿入するだけです。

助けてください。

Answer 1

を処理するために適用する必要があり、このような攻撃を回避するために従うことができ、様々な消毒技術があります。決してあなた自身の物を脱出することはありません。あなたは攻撃可能なコード（SQLインジェクション）を100％得ます。

使用しているDBアダプタによっては、パラメータ化されたクエリを使用できます。ここ

はado.netを使用したサンプルである：

var Query = "select * from customers where city = @city"; 
var cmd = new SqlCommand(Query); 
cmd.Parameters.AddWithValue("@city", txtCity); 

クエリ内@city、後でドライバレベルに置き換えられるプレースホルダ、あろう。

Answer 2

これはあなたが達成できる最も速い方法です。

Answer 3

varchar/nvarcharパラメータとしてSQL Serverに渡す場合は問題ありません。あなたは 'to'を置き換える必要はありません。

Answer 4

文字列データを扱う際には、SQLインジェクション攻撃のためにSQL Serverでの処理方法に非常に注意する必要があります。 SQL Inject Attackは、攻撃者が悪意のあるデータベースにSQL文を実行する不正なテキストを入力する攻撃を指します。

のは、あなたが製品テーブルを持っており、以下の言ってみましょうあなたは、攻撃者I入力してもよく、「スマートフォンOR 1 = 1」として

var query = "SELECT * FROM Products WHERE ProductDesc = " + txtProductDesc; 

を処理するために書かれている可能性があり、そのクエリを見ることができるクエリです製品表のすべての製品のリストが表示されます。

あなたはあなたがあなたのコード内のSQLステートメントを構築するためにしようとしないような攻撃に

SQL Injection Prevention Cheat Sheet

Answer 5

まず、Dependency Injectionを使用して処理コードを永続性から切り離す必要があります。
その後、処理されたデータは、適切なインタフェースを介してANY DBMSによってSystem.Stringおよび消耗品として公開されます。
次に、SQL Serverに永続化したいとします。エンティティフレームワークを使用するつもりです。エンティティフレームワークは、エスケープ文字を処理します。具体的には、（文字列の）データをどこに格納するかを知っているからです...少なくとも私は仮定します。これは私がやることです！私より経験豊富な人がこれが間違った道だと思っているなら、私を修正してください。

Answer 6

以下は、INSERT、DELETE、またはUPDATEの操作でアポストロフィを処理する独自のメソッドを作成しようとするのではなく、パラメータを使用することに関する以前の返答に沿っています。以下は簡単です。パラメータを使用して新しいレコードを追加し、新しい主キーを返します。

最初の挿入にはアポストロフィが1つあり、2番目の挿入は1つです。下のクラスはクラスプロジェクトにあり、フォームの2番目のコードブロックはクラスプロジェクトを参照するフォームプロジェクト内にあります。

using System; 
using System.Data.OleDb; 
using System.IO; 

namespace DataLib 
{ 
    public class Operations1 
    { 
     public Exception InsertException { get; set; } 
     private OleDbConnectionStringBuilder Builder = new OleDbConnectionStringBuilder 
     { 
      Provider = "Microsoft.ACE.OLEDB.12.0", 
      DataSource = Path.Combine(AppDomain.CurrentDomain.BaseDirectory, "Database1.accdb") 
     }; 
     public Operations1() 
     { 
      if (!(File.Exists(Builder.DataSource))) 
      { 
       throw new FileNotFoundException("Failed to find application's database"); 
      } 
     } 
     public bool AddNewRow(string CompanyName, string ContactName, ref int Identfier) 
     { 

      bool success = true; 
      int affected = 0; 

      try 
      { 
       using (OleDbConnection cn = new OleDbConnection { ConnectionString = Builder.ConnectionString }) 
       { 
        using (OleDbCommand cmd = new OleDbCommand { Connection = cn }) 
        { 
         cmd.CommandText = @"INSERT INTO Customer (CompanyName,ContactName) 
          VALUES (@CompanyName, @ContactName)"; 

         cmd.Parameters.AddWithValue("@CompanyName", CompanyName); 
         cmd.Parameters.AddWithValue("@ContactName", ContactName); 

         cn.Open(); 

         affected = cmd.ExecuteNonQuery(); 
         if (affected == 1) 
         { 
          cmd.CommandText = "Select @@Identity"; 
          Identfier = Convert.ToInt32(cmd.ExecuteScalar()); 
          success = true; 
         } 
        } 
       } 
      } 
      catch (Exception ex) 
      { 
       InsertException = ex; 
       success = false; 
      } 
      return success; 
     } 
    } 
} 

フォームコード（モック/静的データ）

using DataLib; 
using System; 
using System.Windows.Forms; 

namespace DataLibDemo 
{ 
    public partial class Form1 : Form 
    { 
     public Form1() 
     { 
      InitializeComponent(); 
     } 
     private void button1_Click(object sender, EventArgs e) 
     { 
      Operations1 ops = new Operations1(); 
      int newIdentifier = 0; 
      if (ops.AddNewRow("O'brien and company", "Mary O'brien", ref newIdentifier)) 
      { 
       MessageBox.Show($"New Id for Mary {newIdentifier}"); 
      } 
      else 
      { 
       MessageBox.Show($"Insert failed: {ops.InsertException.Message}"); 
      } 

      if (ops.AddNewRow("O'''brien and company", "Mary O'brien", ref newIdentifier)) 
      { 
       MessageBox.Show($"New Id for Mary {newIdentifier}"); 
      } 
      else 
      { 
       MessageBox.Show($"Insert failed: {ops.InsertException.Message}"); 
      } 
     } 
    } 
}