Sco*_*ott 4 .net database parameters
.NET Inject中的Parametrize Queries是否安全?也就是说,当您使用参数时,.NET是否会自动转义危险字符?
Jon*_*eet 12
使用参数时,它们通常不会首先作为文本发送.他们可以使用本机线程协议来存储数据库.如果参数本身是文本参数,那么它通常会在协议中进行适当的封装,以便数据库知道它是一个参数而不是SQL.
虽然我认为提供者可以将参数转换为完整的SQL语句,但这将是一种糟糕的做事方式.
所以基本上"是" - 参数化查询对SQL注入攻击是有效安全的,只要你没有存储过程动态地将参数作为SQL等执行.
| 归档时间: |
|
| 查看次数: |
111 次 |
| 最近记录: |