防止 ASP.Net 中的 SQL 注入

我有这个代码

UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ') 

我该如何防止 SQL 注入呢？

UPDATE

这就是我正在尝试的

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.AddWithValue("@ref", 34);

由于某种原因，我尝试添加的所有内容似乎都不起作用，我不断收到SQL Command如以下所说的。

错误是这样的

'SqlCommand' is a type and cannot be used as an expression

我正在接管别人的工作，所以这对我来说是全新的，我希望以正确的方式做事，所以如果有人可以提供更多关于如何使我的查询免受 SQL 注入攻击的帮助，那么请这样做。

更新2号

我在代码中添加了 VasilP 所说的这样

Dim dbQuery As [String] = "SELECT * FROM table WHERE ref = '" & Tools.SQLSafeString(Ref) & "' AND bookno = '" & Tools.SQLSafeString(Session("number")) & "'"

但我收到一个错误Tools is not declared我是否需要指定某个名称空间才能使其工作？

UPDATE

有没有人知道如何最好地让我的查询免受 SQL 注入的影响，而又不会出现我遇到的错误？

UPDATE

我现在有了它，所以它可以在没有参数的情况下工作，这是我更新的源代码，知道为什么它不会添加参数值吗？

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = @investor ') ", conn)
query.Parameters.AddWithValue("@investor", 69836)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

它的工作原理是这样的

Dim conn As SqlConnection = New SqlConnection("server='server1'; user id='w'; password='w'; database='w'; pooling='false'")
   conn.Open()


Dim query As New SqlCommand("Select * from openquery (db, 'Select * from table where investor = 69836') ", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

我收到的错误是这样的

An error occurred while preparing a query for execution against OLE DB provider 'MSDASQL'. 

这是因为它并没有取代@investor与69836

有任何想法吗？

SOLUTION

这是我解决问题的方法

Dim conn As SqlConnection = New SqlConnection("server='h'; user id='w'; password='w'; database='w'; pooling='false'")

conn.Open()

Dim query As New SqlCommand("DECLARE @investor varchar(10), @sql varchar(1000) Select @investor = 69836 select @sql = 'SELECT * FROM OPENQUERY(db,''SELECT * FROM table WHERE investor = ''''' + @investor + ''''''')' EXEC(@sql)", conn)

dgBookings.DataSource = query.ExecuteReader
dgBookings.DataBind()

现在我可以编写查询而不必担心 SQL 注入

尝试使用参数化查询 http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/这是一个链接http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/ http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/

另外，不要使用 OpenQuery...使用 this 来运行选择

SELECT * FROM db...table WHERE ref = @ref AND bookno = @bookno

更多描述您的一些选择的文章：

http://support.microsoft.com/kb/314520 http://support.microsoft.com/kb/314520

连接到另一个 SQL Server 的 T-SQL 语法是什么？ https://stackoverflow.com/questions/125457/what-is-the-t-sql-syntax-to-connect-to-another-sql-server

Edited

注意：您最初的问题是询问分布式查询和链接服务器。这个新语句不引用分布式查询。我只能假设您现在直接连接到数据库。这是一个应该有效的示例。 这是另一个使用参考站点SqlCommand.参数 http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.parameters.aspx

SqlCommand cmd = new SqlCommand("Select * from Table where ref=@ref", con); 
cmd.Parameters.Add("@ref", SqlDbType.Int);
cmd.Parameters["@ref"] = 34;

Edited:

好吧，杰米·泰勒，我会再次尝试回答你的问题。

您正在使用 OpenQuery 因为您可能正在使用链接数据库

基本上，问题是 OpenQuery 方法采用一个字符串，您无法将变量作为发送到 OpenQuery 的字符串的一部分传递。

您可以像这样格式化您的查询。符号遵循服务器名称.数据库名称.架构名称.表名称。如果您通过 odbc 使用链接服务器，则省略数据库名称和架构名称，如下所示

    Dim conn As SqlConnection = New SqlConnection("your SQL Connection String")
    Dim cmd As SqlCommand = conn.CreateCommand()
    cmd.CommandText = "Select * db...table where investor = @investor"
    Dim parameter As SqlParameter = cmd.CreateParameter()
    parameter.DbType = SqlDbType.Int
    parameter.ParameterName = "@investor"
    parameter.Direction = ParameterDirection.Input
    parameter.Value = 34