Creando sentencias SQL seguras como cadenas

Question

Estoy usando C# y .NET 3.5. Necesito generar y almacenar algunas instrucciones de inserción de T-SQL que se ejecutarán más adelante en un servidor remoto.

Por ejemplo, tengo una serie de empleados:

new Employee[] 
{ 
    new Employee { ID = 5, Name = "Frank Grimes" }, 
    new Employee { ID = 6, Name = "Tim O'Reilly" } 
} 

y necesito terminar con una matriz de cadenas, como esto:

"INSERT INTO Employees (id, name) VALUES (5, 'Frank Grimes')", 
"INSERT INTO Employees (id, name) VALUES (6, 'Tim O''Reilly')" 

estoy mirando algo de código que crea las instrucciones de inserción con String.Format, pero eso no se siente bien. Consideré usar SqlCommand (esperando hacer something like this), pero no ofrece una manera de combinar el texto de comando con los parámetros.

¿Basta con reemplazar comillas simples y construir una cadena?

string.Format("INSERT INTO Employees (id, name) VALUES ({0}, '{1}')", 
    employee.ID, 
    replaceQuotes(employee.Name) 
    ); 

¿De qué debería preocuparme cuando hago esto? La fuente de datos es bastante segura, pero no quiero hacer demasiadas suposiciones.

EDITAR: Solo quiero señalar que en este caso, no tengo una SqlConnection ni ninguna forma de conectarme directamente a SQL Server. Esta aplicación en particular necesita generar sentencias SQL y ponerlas en cola para que se ejecuten en otro lugar; de lo contrario, estaría usando SqlCommand.Parameters.AddWithValue()

Answer 1

Use comandos parametrizados. Pase también los parámetros a su servidor remoto y consígalo para llamar a SQL Server, manteniendo la distinción entre el SQL mismo y los valores de los parámetros.

Siempre y cuando nunca mezcles datos de tratamiento como código, deberías estar bien.

Answer 2

crear el objeto de SqlCommand así:

SqlCommand cmd = new SqlCommand(
     "INSERT INTO Employees (id, name) VALUES (@id, @name)", conn); 

SqlParameter param = new SqlParameter(); 
param.ParameterName = "@id"; 
param.Value   = employee.ID; 

cmd.Parameters.Add(param); 

param = new SqlParameter(); 
param.ParameterName = "@name"; 
param.Value   = employee.Name; 

cmd.Parameters.Add(param); 

cmd.ExecuteNonQuery(); 

Answer 3

para evitar la inyección, es necesario enviar los datos al servidor remoto (tal vez en XML) y luego en el servidor remoto, los datos deben convertirse de nuevo para adecuar los tipos de datos y usarlos en consultas parametrizadas o procesos almacenados.

Answer 4

Hmm Estoy de acuerdo con todos los demás en que debería usar consultas parametrizadas y lo dejo ahí. Pero, ¿cómo vas a pasar estas sentencias sql a tu servidor remoto? ¿Tiene algún tipo de servicio como un servicio web que aceptará y ejecutará comandos Sql arbitrarios o su aplicación cliente va a llegar directamente a la base de datos?

Si está pasando por algún tipo de proxy, no importa cuánto desinfecte sus datos en el cliente, un hacker podría omitir su aplicación y acceder al servicio. En ese caso, haga lo que recomienda Cade y pase los datos como XML, por ejemplo, o el formato que elija (JSON, Binario, etc.). Luego, cree su SQL justo antes de ejecutar el comando.

Answer 5

arreglar su reemplazar comillas funcionan de esta manera:

void string replaceQuotes(string value) { 
    string tmp = value; 
    tmp = tmp.Replace("'", "''"); 
    return tmp; 
} 

Salud!