那些遇到过的问题

SQL查询作为参数发送的危险?

use*_*679 1 sql sql-server sql-injection database-security

基本问题.如果我有一个表格要求用户提供他们的姓名,电子邮件和评论,我将这些条目存储在数据库中...如果有人输入SQL查询会发生什么情况,例如:

DROP tablename
Run Code Online (Sandbox Code Playgroud)

在评论部分.

@Name,
@Email,
@Comments

INSERT INTO mytable (Name, Email, Comments) VALUES (@Name, @Email, @Comments)
Run Code Online (Sandbox Code Playgroud)

是否存在SQL注入的风险或者我是否完全安全?

SQL Server 2008存储过程来处理插入.

Bil*_*win 5

是的,你很安全.

SQL注入通过插入恶意输入来更改SQL查询的语法.

但是一个查询参数总是替换一个标量值.如果使用参数,任何恶意输入都无法改变查询的语法.

归档时间:

查看次数:

127 次

最近记录:

12 年,4 月 前
相关归档
推荐用于标记或标记的SQL数据库设计 274
列出postgresql information_schema中的所有表 171
postgresql列表和按大小排序的表 86
突然 - 工作项目中“证书链是由 Microsoft.Data.SqlClient 中不受信任的机构颁发的” 28
如何使用SQL进行SUM和SUBTRACT? 25
在SQL Server中查找损坏的对象 23
获取最新的星期五的SQL日期 15
Oracle使用列注释创建表 13
SQL Server:无法打开登录请求的数据库 10
实体框架死锁和并发 9
难疑归档
如何重命名本地Git分支? 8033
Python有三元条件运算符吗? 5591
适用于Android UserManager.isUserAGoat()的用例? 3506
数据绑定如何在AngularJS中运行? 1924
在jQuery中创建div元素 1500
如何从文件内容创建Java字符串? 1440
检索HTML元素的位置(X,Y) 1418
我应该如何道德地接近用户密码存储以便以后的明文检索? 1346
为什么我们需要C++中的虚函数? 1223
为什么人们在AWS出现时会使用Heroku?Heroku与AWS的区别是什么? 1082