ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

本博文翻译自：
https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/

OWASP或者说是开放Web应用程序安全项目，这是一个非营利性的组织，其目的是促进安全的web应用程序的开发和设计。当他们在世界各地举办不同的研讨会和活动时，你可能听说过他们，因为“OWASP Top Ten”项目。每隔几年，OWASP就会发布十大最重要的web安全风险列表。当然，这并不意味着您需要检查这10个项目，您的网站现在是安全的，但它绝对涵盖了您的网站上最常见的攻击媒介的基础。

当我第一次开始编程并听说OWASP的时候，对我来说最困难的事情就是把它变成实际的东西，例如，当有人开始谈论“CSRF”时，我想知道在.NET中，它是什么样子，它保护自己的基本原则是什么，.NET的系统中有什么(如果有的话)?这篇10部分的文章系列将尝试在ASP.net Core的领域中回答这些问题。您绝对不会突然对所有网络攻击都可以免疫，但是希望可以帮助您从ASP.net Core角度了解OWASP十大安全风险。

另外要注意的是，我将基于OWASP 2017 候选发布版的前10名。这些尚未被接受为2017年的官方十强，如果他们改变，我一定会添加额外的文章来涵盖一切。

所以不用多说，我们开始吧！我们列出的第一个项目是SQL注入。

SQL注入如何工作？

SQL注入可以通过修改一个已知的输入参数来修改SQL语句，而这个SQL语句的执行方式与我们预期的非常不同。这听起来像是一大堆的胡言乱语，我们来举个例子吧。

如果您想要在您的机器上运行整个工作代码项目，您可以从Github那里获取任何东西。您仍然可以在没有代码的情况下继续进行下去，因为我将在整个过程中发布代码示例和屏幕截图。

首先让我们创建一个包含两个表的数据库。第一个表名为“NonsensitiveDataTable”,它包含一些我们不敏感可以向用户分享的数据。第二个表名为“SensitiveDataTable”它包含用户信用卡和社会保障号码。下面是SQL Server中的表。