那些遇到过的问题

参数vs字符串插值

nPc*_*omp 6 c# sql

使用参数而不是使用字符串插值有什么好处?

这是

SELECT * FROM dbo.Posts WHERE Author = @p0", userSuppliedAuthor;

比任何更好

$@SELECT * FROM dbo.Posts WHERE Author = {userSuppliedAuthor}";

Ser*_*kiy 15

字符串插值只是格式化字符串的语法糖.它无法防止SQL注入.您应该使用SQL参数为查询提供值.

考虑 - 如果userSuppliedAuthor等于

'Bob' OR 1 = 1
Run Code Online (Sandbox Code Playgroud)

甚至

'Bob'; DROP TABLE Users;
Run Code Online (Sandbox Code Playgroud)

进一步阅读SQL注入

  • 或者"''鲍勃'; DROP TABLE dbo.Posts;"` (4认同)

归档时间:

查看次数:

1385 次

最近记录:

9 年 前
相关归档
从app.config文件中读取 130
如何在不加载内容的情况下COUNT在EntityFramework中的行? 102
通过等待任务或访问其Exception属性,未观察到任务的异常.结果,未观察到的例外是 97
向表中添加一列,其默认值等于现有列的值 78
确定客户端的计算机名称 40
文本被截断或目标代码页中的一个或多个字符不匹配,包括unpivot中的主键 38
IIS服务器和ASP.Net核心 - 页面无法访问,因为页面的相关配置数据无效 38
SQL:如何限制第一个找到的行的连接? 14
初学者的SQL:如何找到分离的数据库? 13
在IN子句中使用CASE语句 11
难疑归档
堆栈和堆的内容和位置是什么? 7847
如何在Python中延迟时间? 2638
finally块总是在Java中执行吗? 2281
如何在JavaScript中将数字格式化为美元货币字符串? 1711
你如何合并两个Git存储库? 1517
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
如何使用AngularJS在浏览器控制台中访问$ scope变量? 1220
我是否提交了由npm 5创建的package-lock.json文件? 1164
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
退出申请不赞成? 1131