我必须修复一个易受sql注入攻击的项目.
项目中每个页面中的所有表单都不使用参数化查询,而只使用字符串查询.
例如,我有搜索页面,查看后面的代码,我看到有一个方法createquery()根据文本字段创建查询,例如:
string sQuery = ""; sQuery += "b.name like '%" + txtName.Text + "%'";
然后在btnSearch_Click()中我有了执行查询的方法:
query = createquery(); var totalList = GetAllBlaBla(query);
我的问题是:
由于我有数百个表单和数千个formText和值到FIX,是否有一个“快速”的解决方案来实现
>一个全局函数,可以参数化查询或以某种方式处理情况?
>因为在每个类中查询都在SubmitButton_Click()代码后面的方法中执行,我可以在这里处理这种情况,当然在每个类中?
>我是否应该修改表单代码中的每个表单和每个条目以参数化sql字符串,这将需要一百万年?
>(编辑)编码/解码输入值怎么样?所以上面的例子将是:
string sQuery = ""; var txt = var txt = HttpUtility.HtmlEncode(txtName.Text); sQuery += "b.name like '%" + txt + "%'";
这是一个可能的临时补丁吗?
5-(编辑)这是一个可能的解决方案,还是根本不改变任何东西?
cmd.Parameters.Add("@txtNameParameter",sqlDbType.VarChar); cmd.Parameters["@txtNameParameter"].Value = txtName.Text; sQuery += "b.name like '%" + (string)cmd.Parameters["@txtNameParameter"].Value + "%'";
问题是我必须返回一个字符串,因为处理查询的逻辑是在另一个将字符串作为查询的业务类中定义的,我不能给它一个CommandType或sqlDataAdapter …
建议?
提前致谢.