存储过程分页的注入问题以及解决

最近发现，很久以前的一个

项目中的查询竟然会注入sql，原来是使用的通用的存储过程分页，里面有个参数是@wherestr，这个参数是在拼接sql，所以会造成注入，这个真是蛋疼的问题。

很多人没发现这个问题，所以在这里说一说，也希望找到完美的解决方法，首先过滤是不行的，过滤说白了是在改变用户的意志。所以我就写了一个通用分页的方法，动态拼接sql，这样参数化就可以完全分开了

首先先说一下究竟是怎么回事

以下是先用 存储过程分页

分页存储过程是从网上随便找的其中有个参数是@wherestr

（1）按钮事件

 public void tranDatabind(int pageindex)
        {
            StringBuilder sb = new System.Text.StringBuilder(" 1=1");
            int count = 0;
            testClass tc = new testClass();
            if (this.textBox1.Text != "")
            {
                sb.Append(" and teststr like '%"+this.textBox1.Text+"%'");
            }
            this.dataGridView1.DataSource = tc.pagedataExecute(pageindex, sb.ToString(), out count);
            this.pageControler1.PageIndex = 1;
            this.pageControler1.RecordCount = count;
        }

（2）调用的tc.pagdateExecute（）

 public DataTable pagedataExecute(int pageindex,string wherestr,out int count)
        {
         return   SqlHelper.ExecuteDataPage("Table_1", pageindex, 10, "id", "*",wherestr, "id desc", out count);
        }

（3）

SqlHelper.ExecuteDataPage里的wherestr参数 new SqlParameter("@Filter",where);........

我写这些是说明我这里的确用了参数化，但是是在参数化里实行了sql拼接，这是错误的关键所在。然后查询一个单引号

最后没办法，只能放弃存储过程的分页，写个通用的分页方法，虽然会损失效率但是相比sql注入和过滤是值得的。

 public static DataTable ExecutePage(string tableName,string pk,string sort,int pageNumber,int pageSize,string Fields,string Filter,out int recordCount,SqlParameter[] pars)
        {
            StringBuilder sqlsb = new StringBuilder();
            StringBuilder wheresb = new StringBuilder();
            
            if (!string.IsNullOrEmpty(Filter))
            {
                wheresb.Append("where "+ Filter);
            }
            sqlsb.Append("select count("+pk+") as recordcount from "+tableName+" "+ wheresb+";" );
            if(string.IsNullOrEmpty(sort))
            {
                sort = pk + " desc";
            }
            if (pageNumber < 1)
            {
                pageNumber = 1;
            }
           
 
                string startid = ((pageNumber - 1) * pageSize + 1).ToString();
                string endid = (pageNumber * pageSize).ToString();
                sqlsb.Append("select * from (select " + Fields + ",row_number() over( order by " + sort + ") as rownum from " + tableName + " " + wheresb + ") as T  where rownum between "+startid+" and "+endid);
                DataSet ds = new DataSet();
                if (pars != null)
                {
                 ds=  SqlHelper.ExecuteDataset(CommandType.Text, sqlsb.ToString(), pars);
                }
                else
                {
                  ds=  SqlHelper.ExecuteDataset( sqlsb.ToString());
                }
                recordCount =(int)ds.Tables[0].Rows[0]["recordcount"];
            
                 ds.Tables[1].Columns.Remove("rownum");
                 return ds.Tables[1];

        }

 最后希望大家能说说自己的看法，不过千万别说什么过滤之类的------

 -------------------------------------欢迎指导讨论-------------------------------