Oбработкfa SQL Injection, можно ли сделать выборку в свою таблицу

@ZingZing · Регистрация: 13.12.2011

Студворк — интернет-сервис помощи студентам

Добрый день , уважаемые формучане ! Пишу с другом курсовой проект по ADO.NET , конвертер единиц измерения, так вот этот мой друг написал DAL на C# вручную (в том и состоит часть задания) . Примерно что то подобное

C#
1
2
int value = 1;
SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

То что тут иньекция напрашиваеться , это понятно 1 or 0=0, или как то так. Но вот стало интересно , можно ли выбрать полученые данные (те которые у меня выдаст в результате такого "супер" , тоесть все) скажем в свою таблицу ! Что то на подобие

C#
1
2
int value = 1;
SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value+"into [my_table] in [MySuperDataBase]");

Буду очень благодарен за ответ . Как избавить от иньекции пожалуйста не пишите , уже все переписал , используя параметры !

@nio · 02.02.2012, 12:55

Сообщение от ZingZing

Но вот стало интересно , можно ли выбрать полученые данные ....скажем в свою таблицу

Можно

SQL
1
INSERT INTO table1 SELECT * FROM table2

Добавлено через 36 секунд
Количество, порядок и тип столбцов в таблицах должны совпадать

@_katon_ · 05.02.2012, 21:50

Какая же тут инъекция. Если бы использовалась строковая переменная, тогда пожалуй.
Т.е. если было бы так:

C#
1
2
string value = "1 or 0";
SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

У тебя же типизация задана однозначно - integer.
еси попытаться записать,

C#
1
2
int value = "1 or 0";
SqlCommand _command = new SqlCommand("select * from [Measures] where id = "+ value);

то у тебя будет сгенерировано исключение, что типа не могу сконвертировать string в int.

От инъекций избавляются именно благодаря строкой типизации. Тем более что запрос очень простой.

Вот это я если честно вообще не понял (в T-SQL я такого точно не видел)) ):

C#
1
"into [my_table] in [MySuperDataBase]"

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом