SQL注入是最常见且危险的Web应用安全威胁之一，攻击者通过构造恶意SQL语句来破坏数据库或获取敏感信息。作为C#开发者，掌握有效的SQL注入防护技术至关重要。本文将深入探讨C#中防止SQL注入的各种方法和技术。

一、SQL注入原理与危害

1.1 SQL注入攻击原理

SQL注入发生在应用程序将用户输入直接拼接到SQL语句中执行时。例如：

// 危险代码示例
string userInput = Request.QueryString["userId"];
string sql = "SELECT * FROM Users WHERE Id = " + userInput;

攻击者可输入1; DROP TABLE Users--，导致SQL语句变为：

SELECT * FROM Users WHERE Id = 1; DROP TABLE Users--

1.2 可能造成的危害

• 数据泄露：获取敏感信息
• 数据篡改：修改或删除数据
• 权限提升：获取管理员权限
• 服务器沦陷：通过xp_cmdshell执行系统命令

二、基础防护措施

2.1 参数化查询（最有效方法）

使用SqlParameter（ADO.NET）

string sql = "SELECT * FROM Users WHERE Username = @username AND Password = @password";

using (SqlCommand command = new SqlCommand(sql, connection))
{
    command.Parameters.AddWithValue("@username", username);
    command.Parameters.AddWithValue("@password", password);

    using (SqlDataReader reader = command.ExecuteReader())
    {
        // 处理结果
    }
}

存储过程参数化

using (SqlCommand command = new SqlCommand("sp_GetUser", connection))
{
    command.CommandType = CommandType.StoredProcedure;
    command.Parameters.AddWithValue("@username", username);
    // 执行...
}

2.2 使用ORM框架

Entity Framework Core

var user = context.Users
                .Where(u => u.Username == username && u.Password == password)
                .FirstOrDefault();

Dapper

var user = connection.QueryFirstOrDefault<User>(
    "SELECT * FROM Users WHERE Username = @username AND Password = @password",
    new { username, password });

三、进阶防护技术

3.1 输入验证与净化

白名单验证

// 只允许字母数字
if (!Regex.IsMatch(input, @"^[a-zA-Z0-9]+$"))
{
    throw new ArgumentException("非法输入");
}

类型检查

if (!int.TryParse(userIdInput, out int userId))
{
    throw new ArgumentException("用户ID必须为数字");
}

3.2 最小权限原则

配置数据库用户权限：

• 应用程序使用专用数据库账户
• 只授予必要的最小权限
• 禁止应用程序账户执行DDL操作

-- 创建仅具有读取权限的用户
CREATE LOGIN appuser WITH PASSWORD = 'ComplexP@ssw0rd!';
CREATE USER appuser FOR LOGIN appuser;
GRANT SELECT ON SCHEMA::dbo TO appuser;

3.3 动态SQL安全处理

当必须使用动态SQL时：

// 安全拼接表名（使用白名单）
string[] allowedTables = { "Users", "Products", "Orders" };
string tableName = Request.QueryString["table"];

if (!allowedTables.Contains(tableName))
{
    throw new ArgumentException("非法的表名");
}

string sql = $"SELECT * FROM {tableName} WHERE Id = @id";
// 仍然使用参数化查询

四、安全编码最佳实践

4.1 安全连接字符串管理

错误做法：

string connectionString = "Server=myServer;Database=myDB;User Id=admin;Password=123456;";

正确做法：

// 从安全配置读取
string connectionString = Configuration.GetConnectionString("Default");

// 或使用Windows身份验证
string connectionString = "Server=myServer;Database=myDB;Integrated Security=True;";

4.2 错误处理安全

不安全方式：

try
{
    // 数据库操作
}
catch (SqlException ex)
{
    Response.Write("错误: " + ex.Message);  // 泄露敏感信息
}

安全方式：

try
{
    // 数据库操作
}
catch (SqlException)
{
    // 记录完整错误到日志
    Logger.LogError(ex.ToString());

    // 返回通用错误信息给用户
    return View("Error", new ErrorViewModel { 
        Message = "处理请求时发生错误" 
    });
}

五、防御深度策略

5.1 使用Web应用防火墙(WAF)

配置WAF规则阻止常见SQL注入模式：

• 检测' OR 1=1 --等攻击模式
• 阻止特殊字符如;, --, /*
• 限制输入长度

5.2 定期安全审计

检查项目中的SQL查询：

// 查找项目中所有包含字符串拼接的SQL
// 搜索模式如：
// $"SELECT * FROM {tableName}"
// "WHERE id = " + variable
// string.Format("SELECT * FROM {0}", table)

5.3 安全工具扫描

使用工具检测漏洞：

• OWASP ZAP：主动扫描SQL注入漏洞
• SQLMap：测试注入点
• Visual Studio Code Analysis：检测不安全编码模式

六、ASP.NET Core特定防护

6.1 模型绑定验证

public class LoginModel
{
    [Required]
    [RegularExpression(@"^[a-zA-Z0-9]+$", ErrorMessage = "只允许字母数字")]
    [StringLength(20, MinimumLength = 4)]
    public string Username { get; set; }

    [Required]
    [DataType(DataType.Password)]
    public string Password { get; set; }
}

[HttpPost]
public IActionResult Login(LoginModel model)
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }
    // 安全处理登录...
}

6.2 全局输入过滤器

// 创建特性过滤SQL关键词
public class AntiSqlInjectionAttribute : ActionFilterAttribute
{
    private static readonly Regex _sqlKeywords = new Regex(
        @"(select|insert|delete|from|count\(|drop|table|update|truncate|asc\(|mid\(|char\(|xp_cmdshell|exec|master|netlocalgroup|administrators|net user|or|and|\-\-)",
        RegexOptions.IgnoreCase);

    public override void OnActionExecuting(ActionExecutingContext context)
    {
        foreach (var arg in context.ActionArguments.Values)
        {
            if (arg is string str && _sqlKeywords.IsMatch(str))
            {
                context.Result = new BadRequestObjectResult("检测到非法输入");
                return;
            }
        }
    }
}

// 全局注册
services.AddControllersWithViews(options =>
{
    options.Filters.Add<AntiSqlInjectionAttribute>();
});

七、常见误区与纠正

7.1 错误认知：存储过程绝对安全

误区：

// 不安全的使用方式
string sql = "EXEC sp_GetUser '" + username + "'";

正确做法：
即使使用存储过程也要参数化：

using (SqlCommand command = new SqlCommand("sp_GetUser", connection))
{
    command.CommandType = CommandType.StoredProcedure;
    command.Parameters.AddWithValue("@username", username);
    // 执行...
}

7.2 错误认知：黑名单过滤足够

不安全方式：

string sanitized = input.Replace("'", "''"); // 仅转义单引号

正确做法：
应使用参数化查询为主，输入验证为辅的多层防御策略。

八、企业级安全架构建议

8.1 分层防御体系

1. 前端：输入验证、长度限制
2. 应用层：参数化查询、ORM、输入过滤
3. 数据库层：最小权限、审计日志
4. 网络层：WAF、入侵检测

8.2 安全开发流程

1. 培训：全员安全编码意识
2. 设计：架构阶段考虑安全
3. 实现：代码审查+静态分析
4. 测试：渗透测试+漏洞扫描
5. 运维：持续监控+补丁更新

结语

SQL注入防护是C#开发者的必备技能，关键要点包括：

1. 绝对使用参数化查询：这是最有效的防护手段
2. 实施深度防御：多层防护比单一措施更可靠
3. 遵循最小权限原则：限制数据库账户权限
4. 保持安全意识：安全是一个持续的过程，而非一次性任务

通过实施本文介绍的技术和策略，您可以显著降低应用程序受到SQL注入攻击的风险，构建更加安全可靠的系统。记住，在安全领域，预防远比补救重要。