سوال: مشکل در استفاده از کدهای sql [بایگانی]

View Full Version : سوال: مشکل در استفاده از کدهای sql

ali9698

چهارشنبه 17 آبان 1391, 22:41 عصر

سلام به همگی
من یه تکست باکس دارم که هر مقداری داخلش وارد بشه اون مقدار به عنوان یه مقدار رشته ای توی بانک ذخیره میشه. اما اگه توی این رشته از کاراکتر ' (single cot) استفاده کنیم اونوقت وقتی میخواد ذخیره بشه ارور میده که فکر کنم مورد استفاده هکر ها هم هست.
حالا دو تا سوال:
1- میخواستم ببینم کاراکتر دیگه ای هم هست که از این جور مشکل ها ایجاد کنه
2 - در کل روش حل این موضوع چیه؟ اگر با تابع replace همه single cot ها رو حذف کنم مشکل حله؟

hamed II

چهارشنبه 17 آبان 1391, 22:57 عصر

شما باید در هنگام درج داده در دیتابیس به صورت پارامتریک عمل کنید

ali9698

چهارشنبه 17 آبان 1391, 23:11 عصر

لطفا بیشتر توضیح بدین!:ناراحت:

hamed II

پنج شنبه 18 آبان 1391, 09:52 صبح

مثلاً به جای این که از این روش برای Insert کردن استفاده کنید :

insert into test (Name) values ('" + textBox1.Text + "')

از پارامترها به این صورت استفاده بشه :

insert into tbtest (Name) values (@name)
Parameters.Add("@name", OleDbType.NvarChar).Value = textBox1.Text;

اینجوری حفره امنیتی sql injection هم بسته میشه

r_s1389@yahoo.com

پنج شنبه 18 آبان 1391, 10:15 صبح

سلام
شما میتونید از پروسیجر هم استفاده کنید که هم سرعت اجرای بالایی داره وهم امنیت بیشتر

rana-writes

پنج شنبه 18 آبان 1391, 13:12 عصر

سلام
اين تاپيكها رو ببينين
barnamenevis.org/showthread.php?230691

barnamenevis.org/showthread.php?232641

موفق باشين