SQL 데이터베이스를 쿼리하는 함수의 보안

아래 코드는 "안전"하다고 생각합니까? SQL 데이터베이스를 쿼리하는 함수의 보안

Public Function GetManager(ByVal uname As String) As String 
    Dim strSelect = String.Format("SELECT UserName FROM aspnet_Users INNER JOIN Hierarchy ON UserId = LineManagerID WHERE StaffID = (SELECT UserId FROM aspnet_Users WHERE UserName = '{0}')", uname) 
    Dim cmdCommand = New SqlCommand(strSelect, _connection) 
    GetManager = cmdCommand.ExecuteScalar() 
End Function

내가 특별히 부분을 찾고 있어요

where UserName = {'0'}, uname

바로 아포스트로피 몇 가지 잠재적 인 스크립팅 공격에 나를 열어야 말에 나는 건가요?

감사합니다.

출처

2015-01-31 dstewart101

사용 매개 변수 :

가장 좋은 것은 매개 변수화 된 쿼리를 사용하는 것입니다. – Edper

안녕하세요. 답장을 보내 주셔서 감사합니다. 여기에 요점을 설명하기 위해 수정 된 예를 제공 할 수 있습니까? – dstewart101

이 함수에 전달 된 매개 변수에는 어떤 컨트롤이 있습니까? 누군가는'uname = '; DROP TABLE ASPNET_USERS; -' – Steve

아니요, 안전하지 않습니다. uname-parameter는 SQL 명령 인 문자열에 삽입됩니다. 악의적 인 사용자가 SQL을 사용하는 모든 문자열을 보낼 수 있습니다. SQL 주입을 방지하기 위해 How do I create a parameterized SQL query? Why Should I?

출처

2015-01-31 11:01:56 idstam

SQL 데이터베이스를 쿼리하는 함수의 보안

답변

관련 문제