Sql (.NET) problem

Imam en problem. Imam sql stavek:
string sql = "SELECT * FROM tabela1 WHERE NekoPolje=???? ";

Zdaj pa mene zanima naslednje, ker bom živce zraven zgubil. Kako naj naredim, da bom tam ko so vprašaji lahko uporabil poljubno spremnljivko (string)? Vem, da to deluje:
string sql = "SELECT * FROM tabela1 WHERE NekoPolje='haha' ";

SqlCommand command = new SqlCommand();
command.CommandType = CommandType.Text;
command.CommandText = "SELECT [id] FROM Table WHERE [Ime]=@ime";
command.Connection = "tvoj koneksn";

command.Parameters.Clear();
commadn.Parameters.AddWithValue("ime", this.boxInput.Text);
...


by Miha

SqlCommand command = new SqlCommand();
command.CommandType = CommandType.Text;
command.CommandText = "SELECT [id] FROM Table WHERE [Ime]=@ime";
command.Connection = "tvoj koneksn";

command.Parameters.Clear();
commadn.Parameters.AddWithValue("ime", this.boxInput.Text);

OMFG!

string sql = "SELECT * FROM tabela1 WHERE NekoPolje="+moja_vrednost;

ali

string sql = String.Format("SELECT * FROM tabela1 WHERE NekoPolje={0}", moja_vrednost);

Slednje je meni bolj všeč.

V kolikor moja_vrednost ni string, jo je treba seveda še pretvoriti.

Če hočeš eleganco, delaš z ORM, ostalo je v vsakem primeru packanje.

Je pa po drugi strani res, da si naredil idealen primer za kak sql injection.

Vidiš, to je pa zato, ker je moji kristalni krogli zmanjkalo baterij in nisem vedel, da tlači notri nepreverjene vnosne podatke, ki so že privzeto nek splošen niz znakov.

Ko smo že pri injection-u, si prepričan, da ga ne moreš tudi pri tvojem načinu narediti. Nekako dvomim, da gre stvar simulirati poizvedbo in si na podlagi analize ukaza izračuna pričakovan vzorec spremembe v bazi.

Mnja, če se gremo varnost, se mi zdi precej bolj pomembno preverjanje vhodnih podatkov in premišljeni privilegiji. Prvo načeloma tako ali tako pride prav tudi pri sami logiki. Hkrati je boljše, da se naučiš snovati čim bolj robustne programe, ne pa da se zanašaš izključno na orodja. Ker potem enkrat programiraš na neki drugi platformi ali z drugimi orodje in napišeš živi obup.
Skratka, napasti nekoga, ki očitno uči osnov z vsem API-jem kar se da, se mi zdi rahlo zgrešeno, ampak po tehtnem premisleku dopuščam, da se glede tega motim. Vseakor je res, da bi bilo od mene korektno, da bi vsaj izpostavil nevarnosti.

...ne pa da se zanašaš izključno na orodja.

Tu sem jaz drugacnega menja. Lep primer bi bil enkripcije in izdelovanja nekega lastnega algoritma, ker sha1 ni dosti dober.
Zdej je odvisno, a ti mislis delat program/algoritem/whatever, ki bo sposoben nekega filtriranja ali pa bos zacel uporabljat ze vgrajene moznosti. V prvem primeru bos res poznal filtriranje do potankosti, a hkrati bos cas zapravljal z razvijanjem nekih lastnih resitev. Pri drugi pac ne bos vedel kaj dosti, kako dela v ozadju, pa bos imel zato vec casa za logiko celotnega programa.


by Miha

Microsoft ima prav. Owca, način kot si ga ti opisal je dost grda stvar, poleg tega npr. oracle in SQLServer literalov, ki jih pripopaš ne razpozna kot vhodni argument SQL-a in bo zato optimizator za vsak spremenjen podatek šel parsat SQL. SQL-e, ki jih podaš z vhodnini argumenti (@argument) zna dati v cache in jih ob ponovnem klicu le prebere iz cache-a, kar se ponekod zelo veliko pozna na performansah.