SQL-инъекция с параметризованными запросами в ASP.NET

Question

Поэтому у меня есть небольшая проблема. На веб-сайте, который я разрабатываю, я разрешаю людям вводить адрес, как только они нажимают кнопку сохранения, адрес, который они печатают, сохраняется в моей базе данных.

Я был (ошибочно) под впечатлением, что использование параметризованных запросов поможет предотвратить инъекции SQL, вот мой код, когда они нажмите «сохранить»

SqlConnection Conn = new SqlConnection(@"Data Source=**********;Initial Catalog=********;Persist Security Info=True;User ID=******;Password=*********"); 
SqlCommand updateMeeting = new SqlCommand(@"UPDATE [*******].[dbo].[**********] SET Title=@title, Date=@date, Location=@location, Announcement=@announcement WHERE Title = '" + commands[1] + "' AND Date = '" + Convert.ToDateTime(commands[2]) + "' AND Location = '" + commands[3] + "'", Conn); 
updateMeeting.Parameters.AddWithValue("@title", newTitle); 
updateMeeting.Parameters.AddWithValue("@date", newDate); 
updateMeeting.Parameters.AddWithValue("@location", newLocation); 
updateMeeting.Parameters.AddWithValue("@announcement", newBody); 
updateMeeting.Connection.Open(); 
updateMeeting.ExecuteNonQuery(); 
updateMeeting.Connection.Close(); 

newTitle, newDate, newLocation и newBody просто строковые переменные взятых из соответствующих текстовых полей.

Будьте уверены, что массив команд дезинфицирован. Это не то, где моя проблема с инъекцией вступает в игру.

и все же, если я ввожу следующее в моем «месте» текстовое поле атака впрыска успешно и ряд добавляется в моей базе данных

');INSERT INTO [********].[dbo].[*********] (Title) VALUES ('Injection'); -- 

Итак, ясно, что я пропустил что-то, или я не понимая, как работают эти параметризованные запросы. Разве не вся цель этой вещи, чтобы убедиться, что значение VarChar для «местоположения» просто «»), INSERT INTO [****]. [Dbo]. [******] (Title) ЦЕННОСТИ («Впрыск») - «

Не следует ли атака впрыска не удалась?

Answer 1

Вы действительно близко - вы параметрироваться значения вы обновляете с, но не значения в вашем предложении WHERE. Попробуйте что-нибудь подобное вместо этого:.

SqlConnection Conn = new SqlConnection(@"Data Source=**********;Initial Catalog=********;Persist Security Info=True;User ID=******;Password=*********"); 
SqlCommand updateMeeting = new SqlCommand(@" 
    UPDATE [*******].[dbo].[**********] 
    SET Title=@title, 
     Date=@date, 
     Location=@location, 
     Announcement=@announcement 
    WHERE Title = @commands1 
     AND Date = @commands2 
     AND Location = @commands3", 
     Conn); 
updateMeeting.Parameters.AddWithValue("@title", newTitle); 
updateMeeting.Parameters.AddWithValue("@date", newDate); 
updateMeeting.Parameters.AddWithValue("@location", newLocation); 
updateMeeting.Parameters.AddWithValue("@announcement", newBody); 
updateMeeting.Parameters.AddWithValue("@commands1", commands[1]); 
updateMeeting.Parameters.AddWithValue("@commands2", Convert.ToDateTime(commands[2])); 
updateMeeting.Parameters.AddWithValue("@commands3", commands[3]); 
updateMeeting.Connection.Open(); 
updateMeeting.ExecuteNonQuery(); 
updateMeeting.Connection.Close(); 

Answer 2

Это не параметризованный запрос. В вашей статье where вы просто конкатенации строк:

"... WHERE Title = '" + commands[1] + "' AND Date = '" + Convert.ToDateTime(commands[2]) + "' AND Location = '" + commands[3] + "'"