Ich möchte meine Website vor SQL-Injection-Angriffen schützen. Hat jemand gute Links, um die Site gegen diese Arten von Angriffen in einer ASP.NET-Site (c #, Webformulare) sicher zu machen?
BEARBEITEN:
Ich sollte darauf hinweisen, dass ich das Entity Framework verwende
Die erste und beste Verteidigungsstrategie besteht darin, dynamisches SQL nicht zu verwenden.
Verwenden Sie immer parametrisierte Abfragen .
Sehen Sie sich die OWASP-Seite zur SQL-Injection an .
Siehe diese Ressourcen:
Datensicherheit: SQL-Injection-Angriffe stoppen, bevor sie Sie stoppen
>SQL Injection Attacks und Einige Tipps, wie Sie sie verhindern können
Grundsätzlich, wie Oded schon darauf hingewiesen hat, läuft es darauf hinaus, die Verkettung Ihrer SQL-Anweisungen zu beenden - insbesondere wenn Daten von Benutzern in Textfelder eingegeben werden - und parametrisierte Abfragen in ADO.NET.
Sehen Sie hier:
Bobby Tables: Eine Anleitung zum Verhindern der SQL-Injektion
Dies ist eine großartige Serie, die die zehn wichtigsten Sicherheitsbedrohungen für Webanwendungen abdeckt und zeigt, wie sie mithilfe von ASP.net gemildert werden können: Ссылка
Tags und Links c# entity-framework asp.net sql-injection