C#하는 SqlCommand는

Question

나는 다음과 같은 방법으로 Web 서비스가 작동하지 않습니다

[ScriptMethod(ResponseFormat = ResponseFormat.Json)] 
    [WebMethod] 
    public string Login(string passwort, string email, string firma) 
    { 
     return LoginHelper.Login(passwort, email, firma); 
    } 

내 LoginHelper 코드 : 내 질문을 편집 한

그 도움 얘들 아에 대한

using System; 
using System.Collections.Generic; 
using System.Linq; 
using System.Web; 
using System.Data; 
using System.Data.SqlClient; 

namespace WebService1 
{ 
    public class LoginHelper 
    { 
     public static string Login(string passwort, string email, string firma) 
     { 
      string userName = ""; 

      SqlConnection con = new SqlConnection(@"Data Source=Yeah-PC\SQLEXPRESS;Initial Catalog=works;Integrated Security=true;"); 

     SqlCommand cmd = new SqlCommand(@"SELECT firma FROM TestData 
            WHERE email = @email", con); 
     cmd.Parameters.AddWithValue("@email", email); 

     con.Open(); 

     SqlDataReader dr = cmd.ExecuteReader(); 
       while (dr.Read()) 
     { 
    //userName += dr["email"].ToString(); 
    //userName += dr["passwort"].ToString(); 
    userName += dr["firma"].ToString(); 
    } 
    dr.Close(); 
    con.Close(); 
    return userName; 
     } 



    } 
} 

감사합니다. 그 해결책은 지금 안전합니까? 나는 SQL-Injection을 반대한다. 내가 더 잘할 수있는 것이 더 있니?

Answer 1

당신이

LoginHelper.Login(passwort, email, firma);를 호출

하지만 방법

public static string Login(string email, string passwort, string firma)

이메일 주먹 매개 변수입니다. 당신이 암호가 이메일 매개 변수에 다른 대답 & 코멘트를

public static string Login(string passwort, string email, string firma) 
{ 
    string userName = ""; 

    using (SqlConnection con = new SqlConnection(@"Data Source=Yeah-PC\SQLEXPRESS;Initial Catalog=works;Integrated Security=true;")) 
    using(SqlCommand cmd = new SqlCommand(@"SELECT firma FROM TestData WHERE email = @email", con)) 
    { 
     cmd.Parameters.AddWithValue("@email", email); 
     con.Open(); 
     using (SqlDataReader rdr = cmd.ExecuteReader()) 
     { 
      while (rdr.Read()) 
      { 
       if (rdr["firma"] != DBNull.Value) 
       { 
        userName += rdr["firma"].ToString(); 
       } 

      } 
     } 
    } 

    return userName; 
} 

Answer 2

아래로 LoginHelper에 어떤 결과를

변화 당신의 login 방법을 반환하지 왜

사실, 그건. 당신이 ORM을 사용하려고하지 않는 경우

당신은, 보안 문제가 (법인 프레임 워크/NHibernate에는/등) 문제를 해결 매개 변수화 된 쿼리

을 사용하십시오 :

를

• 데이터베이스에 데이터가 있습니까?
• 올바른 데이터베이스를 가리키고 있습니까?
• 올바른 SQL입니까?
• SQL이 실행 중입니까?
• 실행 SQL 프로파일 러 및 SQL이 실행을 받고 무엇을보고, 다음 SQL Management Studio를

Answer 3

에 또한, 보안 및 성능 이유로, 당신은 SqlParameters를 사용해야하는지 테스트. SQL 주입 공격에 대해 읽어보십시오.

Answer 4

매개 변수를 전달하는 대신 매개 변수를 추가하려면 Sqlparameter를 사용하십시오. SQL 매개 변수를 사용하여 매개 변수를 추가하는 것이 가장 좋습니다. 디버깅을 통해 이메일의 가치를 확인할 수도 있습니다. 올바른 정보를 전달하고 있습니다.

 SqlConnection conn = new SqlConnection(connectionString); 
     conn.Open(); 
     SqlCommand cmd = new SqlCommand(@"SELECT firma FROM TestData 
           WHERE email = @email" conn); 
     cmd.Parameters.AddWithValue("@email", email);      
     cmd.Prepare(); 
     cmd.ExecuteNonQuery(); 
     SqlDataReader dr = cmd.ExecuteReader(); 
     while (dr.Read()) 
      {     
       userName += dr["firma"].ToString(); 

      } 
     dr.Close(); 
     conn.Close(); 

Answer 5

이메일 주소에 @ 문자가 포함되어 있으면 문제 일 수 있습니다. @는 SQLCommand의 매개 변수 표시 자입니다. 전자 메일 주소의 후반 부분이 SQL 매개 변수라고 생각할 것입니다. 매개 변수를 사용하여 전자 메일 주소를 전달해야합니다. 그것은 또한 SQL 주입으로부터 당신을 보호합니다. Akatakritos의 답변에는 전자 메일을 전달하는 방법에 대한 예가 나와 있습니다.