24、ODP.NET 安全与性能优化指南

ODP.NET 安全与性能优化指南

1. ODP.NET 安全特性

1.1 实施最佳实践

在编写访问数据库的代码时，遵循最佳实践往往能避免应用程序中大部分的安全漏洞。例如，SQL 注入攻击是常见的数据库攻击形式，使用参数化查询而非动态生成的 SQL 语句，就能轻松避免此类攻击。

1.2 防止 SQL 注入攻击

SQL 注入攻击是通过输入文本框将恶意 SQL 代码直接注入应用程序的一种手段。以登录页面为例，若代码直接将用户输入融入 SQL 语句构建，恶意用户就可能通过输入特定格式的数据来操控该语句。

_cmdObj.CommandText = "SELECT * FROM Useraccounts WHERE UserID='" +  
txtUsername.Text + "' AND Password='" + txtPassword.Text + "'"; 
OracleDataReader _rdrObj = _cmdObj.ExecuteReader(); 
if (_rdrObj.HasRows) 
{  
    MessageBox.Show("Access Granted!");  
} 

若用户在用户名文本框输入 ' OR UserID<> ' ，密码文本框输入 ' OR Password<> ' ，最终生成的 SQL 语句为：

SELECT * FROM U