いろいろ調べられたそうですが、どういったページを調べて何が分からなかったのでしょうか?
前提・実現したいこと
C#を用いて、データーベース(PostgreSQL)の更新、削除などを行っています。
その際SQLインジェクション対策をしたく、色々と調べてみたのですがいまいち理解できなかったため
質問させていただきます。
該当のソースコード
C#
using System; using Npgsql; namespace C { class Data_Select { public Select(string storage) { //接続文字列 string conn_str = "Server=111.111.11.111;Port=5432;User ID=postgres;Database=111;Password=111;Enlist=true"; using (NpgsqlConnection conn = new NpgsqlConnection(conn_str)) { conn.Open(); NpgsqlTransaction tran = conn.BeginTransaction(); string sql = @" select * FROM syain WHERE id =" + storage + ";"; NpgsqlCommand cmd = new NpgsqlCommand(sql, conn); using (NpgsqlDataReader dr = cmd.ExecuteReader()) {} conn.Close(); } } } }
試したこと
C#
using System; using Npgsql; namespace C { class Data_Select { public Select(string storage) { //接続文字列 string conn_str = "Server=111.111.11.111;Port=5432;User ID=postgres;Database=111;Password=111;Enlist=true"; using (NpgsqlConnection conn = new NpgsqlConnection(conn_str)) { conn.Open(); using (NpgsqlCommand command = new NpgsqlCommand(@" select * FROM syain WHERE id = :value1", conn)) { command.Parameters.Add(new NpgsqlParameter("value1", NpgsqlDbType.Integer)); command.Parameters[0].Value =int.Parse(storage); //command.Parameters[1].Value =int.Parse(storage1); //command.Parameters[1].Value =int.Parse(storage2); //ここに一個一個挿入する値を書く? //クエリ実行 using (NpgsqlDataReader dr = command.ExecuteReader()) {} conn.Close(); } } } }
とあるサイトを参考に書いてみて実行も出来たのですが、これでSQLインジェクション対策はできているのでしょうか?
例えばstorageに『1 or 1=1』という値をいれるとSQLはどうなって、その実行結果がどうなるか理解できていますか?
調べて出てくる内容では何が足りなかったのでしょう。
「SQLインジェクション」という絶対的なキーワードをご存じなのであれば、この質問内容を書いている間に調べて試せる範囲ではないでしょうか。
プロバイダによって SQL インジェクション防止対策は違ってくるようですが、何にせよ以下のように SQL 文をユーザー入力で組み立てるということは最もやってはいけないことには間違いないです。
string sql = @" select * FROM syain WHERE id =" + storage + ";";
あとは「C# PostgreSQL sql injection」などをキーワードにググって自助努力で調べてください。それでどうしても分からないことがあれば、その URL を示して、その記事のどこそこが分からないから教えてほしいというような質問にすることをお勧めします。
まだ回答がついていません
会員登録して回答してみよう
