.NET里如何有效避免Oracle SQL注入?推荐始终使用OracleParameter进行参数化查询。
- 内容介绍
- 文章标签
- 相关推荐
本文共计937个文字,预计阅读时间需要4分钟。
相关专题:
OracleParameter 是 .NET 中防 SQL 注入的唯一可靠路径
直接拼接字符串构造 oraclecommand.commandtext,哪怕只加一个单引号,就等于把数据库大门钥匙交给攻击者。.net 的 oracleparameter 不是“可选增强”,而是 oracle 场景下防止注入的强制要求——它让数据库驱动在协议层就把用户输入当纯数据处理,不参与 sql 解析,从根本上切断执行链。
为什么不能用 string.Format 或 $"" 拼接 Oracle SQL
常见错误是把参数化当成“加个占位符就行”,结果仍用字符串插值生成 SQL:
// ❌ 危险:拼接发生在 C# 层,OracleParameter 未生效 string sql = $"SELECT * FROM users WHERE name = '{name}'"; cmd.CommandText = sql; cmd.Parameters.Add(new OracleParameter("p1", name)); // 这行完全没用
这种写法中,name 已在拼接时被注入,OracleParameter 后续添加毫无意义。必须保证 CommandText 是静态 SQL 字符串,所有变量都通过 Parameters 传入。
本文共计937个文字,预计阅读时间需要4分钟。
相关专题:
OracleParameter 是 .NET 中防 SQL 注入的唯一可靠路径
直接拼接字符串构造 oraclecommand.commandtext,哪怕只加一个单引号,就等于把数据库大门钥匙交给攻击者。.net 的 oracleparameter 不是“可选增强”,而是 oracle 场景下防止注入的强制要求——它让数据库驱动在协议层就把用户输入当纯数据处理,不参与 sql 解析,从根本上切断执行链。
为什么不能用 string.Format 或 $"" 拼接 Oracle SQL
常见错误是把参数化当成“加个占位符就行”,结果仍用字符串插值生成 SQL:
// ❌ 危险:拼接发生在 C# 层,OracleParameter 未生效 string sql = $"SELECT * FROM users WHERE name = '{name}'"; cmd.CommandText = sql; cmd.Parameters.Add(new OracleParameter("p1", name)); // 这行完全没用
这种写法中,name 已在拼接时被注入,OracleParameter 后续添加毫无意义。必须保证 CommandText 是静态 SQL 字符串,所有变量都通过 Parameters 传入。