私は、WindowsマシンからMySQLデータベースの特定のフィールドを更新するための基本的なC#windowsフォームを用意しています。どのような形式のSQLインジェクションに対しても防止するために、C#形式の文字列入力値をチェックして、文字列をカンマのバックスラッシュを含むように変更するにはどうすればよいでしょうか?MySQLでC#windowsフォームを使用すると、ユーザーデータをサニタイズする最良の方法は何ですか?
多くのありがとうございます。
一般的に私が見てきた最速のアプローチは、これらのように、ISAPIフィルタを使用することです:
http://www.iis.net/extensions/UrlScan
http://iis6sqlinjection.codeplex.com/
ます。また、ストアドプロシージャのパラメータコマンドを使用する必要があります。
あなたは、あなたが良く、あまりにも、ここで素晴らしい記事XSS攻撃から保護迷路これをやっている間: http://corneliutusnea.wordpress.com/2009/12/11/xss-attack-your-database-to-detect-missing-output-encoding/
**のUSE PLACEHOLDERS **うん。 *それは簡単です*。 ADO.NETを使用すると非常に簡単です。 (もちろん、これはすべての形態の「衛生」をカバーするものではありませんが、それぞれの技術は十分に確立されています) –
これはWeb/Winform/WPFかどうかを指定できますか? –
http://stackoverflow.com/questions/681583/sql-injection-on-insert、http://stackoverflow.com/questions/5468425/how-do-parameterized-queries-help-against-sql-injection –