Langage C#
  1. Langage C#
  3. Est-ce que l’injection SQL fonctionne dans les winforms?
Intereting Posts
expressions lambda dans la fenêtre immédiate de VS2015 La journalisation passive est-elle possible dans .NET? SyleProblem: Impossible de changer le bouton BackGround Of Particular? En quoi les clauses de “faute” de CIL sont-elles différentes des clauses de “capture” en C #? Référentiel générique – IRepository ou IRepository C # haute double précision Pourquoi le point d’entrée est-il autorisé à être privé? Comment implémenter une ligne de commande personnalisée et une exécution Métadonnées fortement typées dans MEF2 (System.Composition) Pourquoi n’a pas déclenché l’événement CellEndEdit de DataGridView Lire tout le contenu du fichier mappé en mémoire ou de l’accesseur de vue en mappage en mémoire sans en connaître la taille Opérateur C # conditionnel Vous n’êtes pas une déclaration? PInvokeStackImbalance lors de l’utilisation de «static extern int system (ssortingng str)» Meilleure façon de comparer deux dictionnaires pour l’égalité Charger, afficher, convertir une image à partir d’un tableau d’octets (firebase database) dans Windows Phone 8.1

Est-ce que l’injection SQL fonctionne dans les winforms?

Je fais un logiciel Windows en C #. J’ai lu sur sql-injection mais je n’ai pas trouvé que cela fonctionnait avec mon application.

Est-ce que l’injection SQL fonctionne dans les winforms?
Si oui, comment les prévenir.

EDIT: J’utilise des zones de texte pour lire le nom d’utilisateur et le mot de passe. et en utilisant textboxex, j’ai trouvé que le texte de textbox se trouvait entre guillemets ( "" ). Donc je ne l’ai pas trouvé être travaillé.

Et quand j’utilise les guillemets " OU ' dans la zone de texte, le texte est lu comme \" OU \'

Exemple: 

  ................... USER NAME: | a" OR "1"=="1 | ``````````````````` // it is read as textBox1.Text = "a\" OR \"1\"==\"1";

L’injection SQL est un problème général qui ne dépend d’aucune technologie. Si vous utilisez .NET et souhaitez empêcher l’injection SQL, utilisez toujours SqlParameter au lieu de la concaténation de chaînes.

Oui. Le moyen le plus simple d’éviter ce problème consiste à utiliser SqlParameter s pour toute entrée utilisateur envoyée à la firebase database. Ou n’utilisez pas SqlDataAdapter et utilisez Entity Framework à la place.

L’injection SQL est provoquée par l’utilisation d’entrées d’utilisateurs directement dans des instructions SQL construites à la volée (appelées SQL dynamic), ce qui permet aux utilisateurs de casser le code SQL ou d’injecter leur propre code SQL.

L’utilisation de procédures stockées ou de SQL avec des parameters permet de contourner ce problème.

Donc oui, cela peut se produire dans les winforms si le code SQL est codé de cette façon.