Best practices für die Verwendung von SqlCommand

Ich möchte sicherstellen, dass bei der Verwendung von SqlCommand, dass ich unter Verwendung der besten Praktiken, insbesondere in Hinblick auf die Sicherheit.

Überlegungen, die ich bin mir nicht sicher über:

  1. Ist es ok, um Sie manuell erstellen Sie die Zeichenfolge anfügen? Wenn nicht, wie sollte ich es tun?
  2. Welche Klassen sollte ich auf der Suche mit statt?
  • Die Frage wäre besser, wenn du uns ein Beispiel von dem, was Sie tun, imho
InformationsquelleAutor mindless.panda | 2011-07-28
  1. 5

    Wenn Ihr erste Frage ist im Gespräch über den Bau von SQL einschließlich der Werte direkt, das ist fast sicher nicht okay. Es öffnet sich Ihnen bis zu SQL-injection-Angriffe, sowie Fragen im Zusammenhang mit Umbauten (z.B. um das richtige Datum/Zeit-format).

    Verwenden Sie stattdessen eine parametrisierte Abfrage, und stellen Sie die Werte in die Parameter. Siehe die Dokumentation für SqlCommand.Parameter für ein Beispiel.

    Aus Interesse, hast du einen bestimmten Grund für die Verwendung von SQL direkt, anstatt über eine der vielen ORMs um? (LLBL, Entity Framework, NHibernate, LINQ to SQL, SubSonic, Massiv, SimpleData, Dapper...)

    • Ich würde empfehlen die Verwendung von gespeicherten Prozeduren jedes mal, wenn Sie können und dies ist eine jener Zeiten, da Sie mit Sql Server.
    • Die Verwendung von Parametern wird verhindert, "SQL-Injection" - Angriffe!
    • Empfehlungen ohne Begründungen sind ziemlich sinnlos, IMO. Was ist der nutzen hier?
    • Ich bin mir nicht sicher, was ist der Punkt, den Sie versuchen zu machen. Ich habe bereits darüber gesprochen, SQL-injection-Angriffe (Erster Absatz).
    • Ich bin auf der Suche laden eine große, gut formatierten Datensatz in einer Datenbank für die Analyse in einem stat-Paket. Ich bin mit C# und wollen im Grunde, um die Abfrage zu sehen, ob bestimmte Tabellen gibt oder nicht, dann laden Sie die Daten. Ich war auf der Suche auf ein SqlCommand-Objekt für die überprüfung der vorhandenen Tabellen und dann SqlBulkCopy, die Daten zu laden.
    • Okay, das macht Sinn... setzen die Tabelle Namen in der über string-Verkettung in Ordnung ist, so lange wie Sie Vertrauen in die Datenquelle oder tun einige wirklich brutale Validierung (z.B. muss komplett A-Za-z).
    • Ich dachte, auch wenn Ihr ein kleines Projekt möchte ich die Schaffung guter Praxis, ansonsten wenn die größeren kommen Sie in der Regel nicht passiert. Ich bin mit SqlCommand.Parameter gerade jetzt, ist es overkill?
    • Wenn es schon in einem dataset, create table-valued-Typ, und dann übergeben, die als parameter an deine proc. billfellows.blogspot.com/2010/06/...
    • Nein, ich glaube nicht, dass es übertrieben mit Parametern. Es ist ein sehr guter Weg, um Ihren code (SQL) getrennt von den Daten (die parameter-Werte).
    • Durch dataset-ich meine nur eine flache text-Datei in der Regel über 1 GB, das kenne ich zu gut formatiert, nicht neccesarily ein DataSet-Objekt jeglicher Art.
    • Skeet: mit den Informationen geistlose.panda, vorausgesetzt zunächst, ich dachte, mit sql-procs mehr Sinn, da Sie mehrere Vorteile haben: 1. Schutz gegen sql-injection-Angriffe, solange Sie nicht tun, werden von sp_executesql in Ihrem proc. 2. Sie können die Leistung erhalten, da die Ausführung planen, werden machen verwenden von Statistiken gesammelt auf den Tisch, um den besten Ausführungsplan. 3. Sie abstrahieren Ihre Logik aus dem front-end durch die Implementierung von Logik auf den proc, wenn nötig. Wenn Sie ein problem mit Ihren Daten/Logik können Sie in der Lage, es zu beheben, die auf der Datenbank-Seite... etc, etc.
    • Auf der anderen Seite, wenn Sie finden, Sie möchten eine andere Abfrage, die Sie müssen, um es zu beheben, die auf der Datenbank-Seite, in einer Weise, die in meiner Erfahrung in der Regel eher ein Schmerz zu ändern, auf ein live-system, als eine änderung des Datenbank-Zugriffs. Prepared statements können auch Statistiken für die Tabelle, für die Optimierung IIRC, und die Verwendung von Parametern ist nur so gut wie der Schutz vor SQL-injection-Angriffe. Beachten Sie, dass dies nicht wahr sein müssen-frontend - code-es könnte gut sein, eine interne web-service oder ähnliches. Ich normalerweise würde nicht wollen, dass ein UI-reden direkt an die Datenbank sowieso.
    • Skeet: "wenn Sie finden, Sie möchten eine andere Abfrage, die Sie haben, um es zu beheben, die auf der Datenbank-Seite, in einer Weise, die in meiner Erfahrung in der Regel eher ein Schmerz zu ändern, auf ein live-system, als eine änderung die Datenbank zugreifen.", etwas genauer, bitte. Ich sehe nicht, wie mehr schmerzhaft oder sehr schmerzhaft, als zu tun, eine neue Version Ihrer app, es sei denn, natürlich, Sie sprechen von IoC, DI, etc. W/o-das komplette pic kann man nur empfehlen, so viel...
    • Meine Erfahrung ist, dass die Anwendung änderungen an der Datenbank erfordern eher mehr "Prozess" verwickelt zu werden (mehr zu reden DBAs etc) als Anwendung-Anwendung-änderungen. Ich finde es auch weniger offensichtliche, was in der code als zu sehen, SQL-direkt oder - im Idealfall - mit einem ORM. Ich finde auch die Entwicklung Prozess langsamer, als gewöhnlich, während Sie optimieren die gespeicherte Prozedur, die Sie auch brauchen, zu zwicken die der client-code (z.B. an verschiedenen Parametern), so hast du zwei bits zu aktualisieren, statt einen. Dito hinzufügen einer neuen Abfrage. (Fortsetzung.)
    • Müssen Sie nur nur ändern Sie die Datenbank, wenn Ihre gespeicherte Prozedur nimmt schon alle die richtigen Parameter, die der client ist der Aufruf korrekt, aber die Logik ist falsch. Nach meiner Erfahrung ändert sich öfters "Oh, und wir brauchen auch die filter, die von X". Gespeicherte Prozeduren haben Ihren Platz, aber ich sicherlich nicht denken, dass Sie der am besten geeignete Ansatz "jedes mal, wenn Sie [verwenden]", wie Sie es tun.
    • nur um eine Stimme - Ive verwendet beide Routen (stored proc und direkte sql) erfolgreich, aber ich bin damit einverstanden, dass direct-SQL hat viele Vorteile; Bereitstellung ist ein großes Problem, und insbesondere, dass unangenehme Zeit, wenn updaon die farm, wenn Sie wollen, dass die Daten, die Logik und die app-Logik richtig zu sein für alle Server zu allen Zeiten. Für uns, die Bereitstellung der app-Ebene ist trivial.
    • Skeet: "...ändern Sie einfach die Datenbank, wenn Ihre gespeicherte Prozedur nimmt schon alle die richtigen Parameter, die der client ist der Aufruf korrekt, aber die Logik ist falsch", ja und Nein, auch wenn Sie "Oh, und wir brauchen auch die filter, die von X" getan werden kann, w/o irgendwelche änderungen am code als Gegensatz zu, stellen Sie eine code-änderung und anschließende Freigabe nur für "oh, ich muss auch zum filtern von X-und I forgot". Oder was ist ein Fehler (typisches Szenario), weil Sie die parsing-Daten falsch? Wahrscheinlich kann man es auf den proc. Ich finde, produktiver zu schreiben, sql-Anweisungen in einem der vielen SQL-tools... (Fortsetzung).
    • (SQL Server Mgmt Studio zum Beispiel), als schreiben Sie Sie auf dem client -Sie haben eine Vielzahl von Produktivitäts-tools, intellisense, etc.-
    • Gravell. Genau, man hat Blick auf das Szenario an die hand, um zu bestimmen, was am besten funktioniert. Vielleicht stored procs sind nicht das Allheilmittel, aber ich bevorzuge diese über prepared statements. Was ist, wenn die Logik wird über komplizierte, Sie müssen sich 50 Tabellen und was nicht? Schreibe diese sql-Anweisungen im code ist nicht lustig und kaum produktiver als Sie zu schreiben auf tools wie Sql Server Mgmt Studio, speziell, wenn Sie verwenden SqlPrompt -Redgate zahlen sollte mir für diese Kostenlose Anzeige ;)- oder Dinge wie, dass, Sie, dass der check auf syntax-Fehler und formatieren Sie Ihre sql-Anweisungen sehr schön.
    • Wenn ich bin bei 50 Tabellen, ich denke, es gibt größere Probleme 🙂 Aber ich würd eher schreiben joins in LINQ jedenfalls, um ehrlich zu sein. Mein Punkt über die "filter nach "X" war so etwas wie "filter, indem Sie den Wert des Datums durch den Benutzer gegebenen", D. H. die Einführung eines weiteren Parameters. Wie würden Sie das tun, ohne dass änderungen am code?
    • Skeet: in diesem Fall sind Sie kein Glück 😉 Aber wenn Sie in Produktion ging und erkannte, dass Sie wieder mehr Daten, als Sie sollten (sagen wir zum Beispiel, basierend auf Benutzer-Anmeldeinformationen, wenn Sie mit windows auth), können Sie die kleinen filter in es w/o jemand zu wissen. Oder aus einem anderen Grund, was auch immer es ist. Es gibt diese Möglichkeit und ist nicht winzig, dass alles, was ich sage.
    • Sicher, das ist möglich. Aber so oder so würden Sie ändern von einem tier. Wo ich ein problem habe, ist mit jedes neue Abfrage, die mindestens beiden - Stufen der Veränderung.
    • Skeet. Verständlich, aber wenn Sie bereits das ändern der front-end-Stufe, was ist die große Sache über die änderung der anderen tier-als auch Vs zu können, möglicherweise befassen sich mit viele Fragen transparent durch und ändern Sie nur ein tier, das erfordert keine downtime und ist -fast (Wunschdenken)- wirklich schmerzfrei?
    • Wirklich schmerzlos? Sie haben sich nicht befasst mit der DBAs ich haben 😉 (Es dauert länger, um zu machen Entwicklung ändern sich zwei Dinge in einer Zeit zu, in meiner Erfahrung.) Ich denke, wir werden um die Stimmen zu unterscheiden...
    • Hahaha, sind Wir uns einig! Grüße.
    • wir do schreiben unsere TSQL in SSMS und unsere logging/profiling-layer glücklich spuckt es wieder zu verwenden, mit geeignet gefälschte declare @someParam int = 12 etc zum abgeben

    InformationsquelleAutor Jon Skeet
  2. 2

    Ich würde sagen, die Verwendung von Parameter ist einer der wichtigsten Aspekte für die Sicherheit. Dies wird verhindern, dass SQL-Injection in die Datenbank. Die folgenden SQLCommand ist ein Beispiel, wie ich würde bauen ein (im VB.NET, Entschuldigung - keine C# - Kenntnisse - noch ;))

    Dim cmd as New SqlCommand("sp_StoredProcedure", Conn)
cmd.commandType = commandtypes.storedprocedure
cmd.parameters.add("@ID",sqldbtype.int).value = myID
cmd.executenonquery

    Und ein Beispiel für einen inline-SqlCommand:

    Dim cmd as New SqlCommand("SELECT Name, Message FROM [Table] WHERE ID=@ID", Conn)
cmd.commandType = commandtypes.storedprocedure
cmd.parameters.add("@ID",sqldbtype.int).value = myID
cmd.executenonquery
    InformationsquelleAutor Curt
  3. 2

    Mein Rat: seien Sie faul. Schreiben voluminösen code ist ein guter Weg, um Gehirn-tot-Fehler (falscher Datentyp, null Kontrollen, fehlende Dispose(), etc), und es hat null performance-Vorteil gegenüber vielen Helfer-tools.

    Ich persönlich bin ein großer fan von dapper (ich bin aber auch etwas voreingenommen), das macht die Sache einfach:

    int customerId = ...
var orders = connection.Query<Order>(
    @"select * from Customers where CustomerId = @customerId",
    new { customerId });

    Die Parametrierung und Materialisierung für Sie ohne Schmerzen, und dummerweise fallen.

    Für andere Szenarien, insbesondere wenn Sie verwenden möchten, OO-Techniken, um das system aktualisieren, ein ORM wie EF oder L2S sparen Sie Arbeit, Zeit (und bessere Typüberprüfung mittels LINQ).

    InformationsquelleAutor Marc Gravell
  4. 0

    Je, wenn ich POC oder persönliche kleine Projekte, die ich normalerweise Baue meine strings manuell, aber wenn ich in einem Projekt für Arbeit haben wir eine Vorlage für die DB-Nutzung und die Verbindung, die ich verwenden muss und kann hier natürlich nicht verraten.

    Aber ich denke, es ist ok, um manuell bauen für die grundlegenden Vorgänge in kleinen Projekt-oder POC.

    • Edit : Wie Jon sagte, obwohl Sie sollten immer mit somehting wie SqlCommand.Parameter beim erstellen Ihres eigenen Befehl. Sorry wenn ich nicht klar.
    InformationsquelleAutor Senick
  5. 0

    Wenn Sie um die Sicherheit besorgt, ich empfehle erstellen Sie Ihre Abfragen als Gespeicherte Prozeduren im SQL Server-Datenbank statt (um zu verhindern, dass sich Gedanken über SQL-injection), und dann aus der front-end-code, generieren Sie einfach eine Gespeicherte SQL-Prozedur, die Parameter hinzufügen, und tun es so.

    Diese Artikel sollte Ihnen zu helfen mit der Einstellung.

    • Warum nicht einfach die Verwendung von parametrisierten Abfragen statt, welche immer noch die Vermeidung von SQL-injection-Angriffe?
    • Nun, es ist mehr eine Präferenz-Sache. Ich bin lieber in der Lage zu gehen und schauen Sie sich alle meine gespeicherte Prozeduren und wissen, dass das ist, wo alle meine Datenbank-Operationen passiert =/
    • Das ist vernünftig - aber es macht es eher ein Schmerz, um neue Abfragen erstellen etc, in meiner Erfahrung. Wenn jede neue Art von Abfragen der Datenbank erfordert eine neue gespeicherte Prozedur zu bekommen ausgerollt, es gibt eine Menge von admin beteiligt 🙁
    • Gespeicherte Prozeduren nicht verhindern SQL-injection-Angriffe. Es gibt nichts verhindern, die SP-Autor von über sp_executesql viel zu liberal und die öffnung ein Loch ist.
    InformationsquelleAutor slandau
  6. 0

    Sollten Sie immer die Praxis der Anwendung der mindestens Berechtigungen auf Datenbank-verbindungen durch die Kommunikation mit der Datenbank über gespeicherte Verfahren.

    Store Procs

    using System.Data;
using System.Data.SqlClient;
using (SqlConnection connection = new SqlConnection(connectionString))
{
  DataSet userDataset = new DataSet();
  SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure", connection);
  myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
  myCommand.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11);
  myCommand.SelectCommand.Parameters["@au_id"].Value = SSN.Text;
  myCommand.Fill(userDataset);
}

    • Die Anmeldeinformationen für die Verbindungszeichenfolge für die Datenbank:
      A. Integrierte Sicherheit für Unternehmens - /intranet
      B. Halten Sie es verschlüsselt in der registry oder einer Datei, in der Hosting-Anbieter.

    • Immer auf der Suche nach Hackern, die versuchen zum hochladen von cross-scripting in Ihren Formen.

    • Überprüfen Sie immer die Eingaben für SQL-injection.

    InformationsquelleAutor Internet Engineer
  7. 0

    Ich denke, das ist die beste Lösung

        SqlConnection cn = new SqlConnection(strCn);
        try
        {
            using (SqlCommand cmd = new SqlCommand("select * from xxxx", cn))
            {
                cn.Open();

                //do something

                cn.Close();
            }
        }
        catch (Exception exception)
        {
            cn.Close();
            throw exception;
        }
    • Warum denkst du, das ist die beste Lösung?
    • Gibt automatisch die Ressourcen und die automatische Schließung der Verbindung zur Verfügung gestellt. Warum Sie denkt, dass es das nicht?
    InformationsquelleAutor darkwood
Schreibe einen Kommentar