zaKKum’s bLog

protected void SQLInjection_KotuOrnek(object sender, EventArgs e)

{

   string connStr = “Server=(local);Database=Northwind;Integrated Security=SSPI”;

   // Bu yanlış bir kullanım ve SQL Injection a müsait

   string cmdStr = “insert into Shippers (CompanyName, Phone) values (’” +

      txtCompanyName.Text + “‘, ‘” + txtPhone.Text + “‘)”;

   using (SqlConnection conn = new SqlConnection(connStr))

   using (SqlCommand cmd = new SqlCommand(cmdStr, conn))

   {

      conn.Open();

      cmd.ExecuteNonQuery();

   }

}

protected void SQLInjection_IyiOrnek(object sender, EventArgs e)

{

   string connStr = “Server=(local);Database=Northwind;Integrated Security=SSPI”;

   // Bu doğru bir kullanım çünkü kullanıcı girişleri parametreler sayesinde

   // olacak ve girişler SQL sorgusunun bir parçası olmayacak.

   string cmdStr = “insert into Shippers (CompanyName, Phone) values (” +

      “@CompanyName, @Phone)”;

   using (SqlConnection conn = new SqlConnection(connStr))

   using (SqlCommand cmd = new SqlCommand(cmdStr, conn))

   {

      // Parametreler

      cmd.Parameters.AddWithValue(“@CompanyName”, txtCompanyName.Text);

      cmd.Parameters.AddWithValue(“@Phone”, txtPhone.Text);

      conn.Open();

      cmd.ExecuteNonQuery();

   }

}