最近发现,很久以前的一个
项目中的查询竟然会注入sql,原来是使用的通用的存储过程分页,里面有个参数是@wherestr,这个参数是在拼接sql,所以会造成注入,这个真是蛋疼的问题。在网上找了找,发现很多人都有这个问题,但是普遍用的方法是过滤,过滤我感觉并不是完美的方法,它把用户原来的期望给更改了,这可不太好。
最后没办法,只能放弃存储过程的分页,写个通用的分页方法,虽然会损失效率但是相比sql注入和过滤是值得的。
public static DataTable ExecutePage(string tableName,string pk,string sort,int pageNumber,int pageSize,string Fields,string Filter,out int recordCount,SqlParameter[] pars) { StringBuilder sqlsb = new StringBuilder(); StringBuilder wheresb = new StringBuilder(); if (!string.IsNullOrEmpty(Filter)) { wheresb.Append("where "+ Filter); } sqlsb.Append("select count("+pk+") as recordcount from "+tableName+" "+ wheresb+";" ); if(string.IsNullOrEmpty(sort)) { sort = pk + " desc"; } if (pageNumber < 1) { pageNumber = 1; } string startid = ((pageNumber - 1) * pageSize + 1).ToString(); string endid = (pageNumber * pageSize).ToString(); sqlsb.Append("select * from (select " + Fields + ",row_number() over( order by " + sort + ") as rownum from " + tableName + " " + wheresb + ") as T where rownum between "+startid+" and "+endid); DataSet ds = new DataSet(); if (pars != null) { ds= SqlHelper.ExecuteDataset(CommandType.Text, sqlsb.ToString(), pars); } else { ds= SqlHelper.ExecuteDataset( sqlsb.ToString()); } recordCount =(int)ds.Tables[0].Rows[0]["recordcount"]; ds.Tables[1].Columns.Remove("rownum"); return ds.Tables[1]; }
-------------------------------------欢迎指导讨论-------------------------------
通用分页存储过程注入问题解决方案:不用存储过程,通用分页查询方法,布布扣,bubuko.com
通用分页存储过程注入问题解决方案:不用存储过程,通用分页查询方法
原文:http://www.cnblogs.com/weiwin/p/3571872.html