本博文翻譯自：
https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/

OWASP或者說是開放Web應(yīng)用程序安全項目，這是一個非營利性的組織，其目的是促進安全的web應(yīng)用程序的開發(fā)和設(shè)計。當他們在世界各地舉辦不同的研討會和活動時，你可能聽說過他們，因為“OWASP Top Ten”項目。每隔幾年，OWASP就會發(fā)布十大最重要的web安全風險列表。當然，這并不意味著您需要檢查這10個項目，您的網(wǎng)站現(xiàn)在是安全的，但它絕對涵蓋了您的網(wǎng)站上最常見的攻擊媒介的基礎(chǔ)。

當我第一次開始編程并聽說OWASP的時候，對我來說最困難的事情就是把它變成實際的東西，例如，當有人開始談?wù)摗癈SRF”時，我想知道在.NET中，它是什么樣子，它保護自己的基本原則是什么，.NET的系統(tǒng)中有什么(如果有的話)?這篇10部分的文章系列將嘗試在ASP.net Core的領(lǐng)域中回答這些問題。您絕對不會突然對所有網(wǎng)絡(luò)攻擊都可以免疫，但是希望可以幫助您從ASP.net Core角度了解OWASP十大安全風險。

另外要注意的是，我將基于OWASP 2017 候選發(fā)布版的前10名。這些尚未被接受為2017年的官方十強，如果他們改變，我一定會添加額外的文章來涵蓋一切。

所以不用多說，我們開始吧！我們列出的第一個項目是SQL注入。

SQL注入如何工作？

SQL注入可以通過修改一個已知的輸入?yún)?shù)來修改SQL語句，而這個SQL語句的執(zhí)行方式與我們預(yù)期的非常不同。這聽起來像是一大堆的胡言亂語，我們來舉個例子吧。

如果您想要在您的機器上運行整個工作代碼項目，您可以從Github那里獲取任何東西。您仍然可以在沒有代碼的情況下繼續(xù)進行下去，因為我將在整個過程中發(fā)布代碼示例和屏幕截圖。

首先讓我們創(chuàng)建一個包含兩個表的數(shù)據(jù)庫。第一個表名為“NonsensitiveDataTable”,它包含一些我們不敏感可以向用戶分享的數(shù)據(jù)。第二個表名為“SensitiveDataTable”它包含用戶信用卡和社會保障號碼。下面是SQL Server中的表。

總結(jié)

以上是生活随笔為你收集整理的ASP.NET Core中的OWASP Top 10 十大风险-SQL注入的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。