Prevenindo SQL Injection com C#

Com o avanço da tecnologia e o interesse das pessoas à ela, surgem cada vez mais hackers ou crackers. Uns para fazer o bem, trabalharem em organizações para protegê-las e outros para fazer o mal, invadirem máquinas para obtenção de usuários, senhas, inserir códigos maliciosos em sites entre outros.

Neste artigo, será tratado o  ataque SQL , que significa Linguagem de Consulta Estruturada, é a linguagem utilizada pelos SGDB’s no mundo todo.  Dependendo do SGDB, de como foi estruturado, é mais fácil ou não de introduzir um código malicioso. Claro, isso também depende dos testes feitos dentro do próprio programa que usa entradas ao SGBD.

O SQL Injection é a tática de invasão que insere em campos texto de uma página web, comandos sql de manipulação de dados (DML) ou de definição de dados(DDL). Este tipo de ataque é feito principalmente em sistemas de grandes empresas, onde o estrago com certeza é maior, só para se ter uma idéia, SQL injection foi sofrido até pela NASA.

Mas… Como prevenir este ataque em seu sistema C#?

Basicamente, fazendo testes de validações! Como todos os comandos SQL são conhecidos, basta verificá-los. Para isso eis um exemplo de código:

Código:

ImagemSQLinjectioncode

Autora: Kim Cristie