Come posso aggiungere un input fornito dall'utente a un'istruzione SQL?

Question

Sto cercando di creare un'istruzione SQL utilizzando i dati forniti dall'utente. Io uso il codice simile a questo:

var sql = "INSERT INTO myTable (myField1, myField2) " + 
      "VALUES ('" + someVariable + "', '" + someTextBox.Text + "');"; 

var cmd = new SqlCommand(sql, myDbConnection); 
cmd.ExecuteNonQuery(); 

Tuttavia,

• questo viene a mancare quando l'input dell'utente contiene virgolette singole (ad esempio O'Brien),
• io non riesco a ottenere il giusto formato quando si inserisce DateTime valori e
• le persone continuano a dirmi che non dovrei farlo a causa di "SQL injection".

Come si fa "nel modo giusto"?

Answer 1

Utilizzare l'SQL parametrizzato.

Esempi

sostituire il vostro concatenazioni di stringhe con @... segnaposto e, successivamente, aggiungere i valori al vostro SqlCommand. Puoi scegliere liberamente il nome dei segnaposto, ma assicurati che inizi con il segno @. Il vostro esempio sarà simile a questa:

var sql = "INSERT INTO myTable (myField1, myField2) " + 
      "VALUES (@someValue, @someOtherValue);"; 

using (var cmd = new SqlCommand(sql, myDbConnection)) 
{ 
    cmd.Parameters.AddWithValue("@someValue", someVariable); 
    cmd.Parameters.AddWithValue("@someOtherValue", someTextBox.Text); 
    cmd.ExecuteNonQuery(); 
} 

Lo stesso modello viene utilizzato per altri tipi di istruzioni SQL:

var sql = "UPDATE myTable SET myField1 = @newValue WHERE myField2 = @someValue;"; 

// see above, same as INSERT 

o

var sql = "SELECT myField1, myField2 FROM myTable WHERE myField3 = @someValue;"; 

using (var cmd = new SqlCommand(sql, myDbConnection)) 
{ 
    cmd.Parameters.AddWithValue("@someValue", someVariable); 
    using (var reader = cmd.ExecuteReader()) 
    { 
     ... 
    } 
    // Alternatively: object result = cmd.ExecuteScalar(); 
    // if you are only interested in one value of one row. 
} 

Una parola di cautela: AddWithValue è una buona punto di partenza e funziona bene nella maggior parte dei casi. Tuttavia, è necessario che il valore che si trasmette corrisponda esattamente al tipo di dati del campo del database corrispondente. In caso contrario, si potrebbe finire in una situazione in cui la conversione impedisce la query da using an index. Si noti che alcuni tipi di dati di SQL Server, come char/varchar (senza precedente "n") o data, non hanno un tipo di dati .NET corrispondente. In questi casi, Add with the correct data type should be used instead.

Perché dovrei farlo?

• It's more secure: Si ferma SQL injection. _{(Bobby Tables won't delete your student records.)}

• E 'più facile: Non c'è bisogno di smanettare con le virgolette singole e doppie o per cercare la rappresentazione di stringa corretta della data letterali.

• È più stabile: O'Brien non bloccherà la tua applicazione solo perché insiste nel mantenere il suo strano nome.

Altre librerie di accesso ai database

• Se si utilizza un OleDbCommand invece di uno SqlCommand (per esempio, se si utilizza un database MS Access), utilizzare ? anziché @... come segnaposto in SQL. In tal caso, il primo parametro di AddWithValue è irrilevante; invece, è necessario aggiungere i parametri nell'ordine corretto. The same is true for OdbcCommand.

• Entity Framework also supports parameterized queries.