是否足以禁止输入中的单引号以避免SQL注入？

okr*_*now 3 c# sql-server sql-injection

我继承了一个旧的软件,代码'在构造使用字符串连接的SQL语句之前检查用户输入是否包含单引号字符.

这是否足以避免SQL注入(除了样式不好)还是我必须立即采取行动并将其更改为参数用法？

不,这还不够.

是的,您必须立即采取措施并将其更改为适用的参数用法.

您只需遵循一些指导原则即可:

永远不要注意任何注射.但请确保您已正确格式化 SQL文本.格式正确的文字是防错的 - 就像副作用一样 - 也是无懈可击的.
发现SQL查询由几种不同类型的文字组成的事实.每个都需要不同的格式,对所有其他格式不兼容和无用.
确保无条件地应用这种格式.准备好的陈述是唯一可以确定的方式.

归档时间：	12 年，11 月前
查看次数：	1336 次
最近记录：	12 年，11 月前

我可以通过使用单引号转义单引号和周围用户输入来防止SQL注入吗？ 131

更多相关链接

是否有内置的方法来比较集合？ 170

.net Core 2.0 - 使用.NetFramework 4.6.1而不是目标框架.netCore 2.0恢复了包.包装可能不完全兼容 84

List <int>中的int的总和范围 68

Try_Convert for SQL Server 2008 R2 31

Microsoft SQL Server数据工具包未正确加载 16

在SQL Server中存储Log4Net消息 15

使用SqlConnection/System.Transactions进行Session-Per-Request 15

SELECT SQL 1的ANSI SQL版本 13

使用带有srid 4326的几何图形,STDistance返回的是什么度量单位？ 12

为什么Microsoft SQL Server 2012查询需要几分钟而不是JDBC 4.0,而在Management Studio中需要几分钟？ 9

如何检查字符串是否包含JavaScript中的子字符串？ 7430

在jQuery中添加表行 2331

如何修改指定的提交？ 2077

在Bash中提取文件名和扩展名 1969

为什么在C++中读取stdin的行比Python要慢得多？ 1738

接口和抽象类之间有什么区别？ 1705

按值对地图<键,值>进行排序 1569

短路Array.forEach就像调用break 1429

表命名困境:奇异与多个名称 1404

如何查看Git提交中的更改？ 1364