那些遇到过的问题

动态SQL是否更容易受到SQL注入/黑客攻击?

Dha*_*ana 1 sql-server

动态SQL是否更容易受到SQL注入/黑客攻击?如果是,如何预防?

Fre*_*els 6

如果使用参数而不是字符串连接来指定过滤条件,则它不应该容易受到Sql注入的影响.

例如:

做这个:

string sqlQuery = "SELECT * FROM Persons WHERE Persons.Name LIKE @name";

SqlCommand cmd = new SqlCommand ( sqlQuery );
...
cmd.Parameters.Add ("@name", SqlDbType.VarChar).Value = aName + "%";
Run Code Online (Sandbox Code Playgroud)

而不是这个:

   string sqlQuery = "SELECT * FROM Persons WHERE Persons.Name LIKE \'" + aName + "%\'";
Run Code Online (Sandbox Code Playgroud)

第一个例子不容易被sql注入,但第二个例子非常容易受到攻击.

这同样适用于您在存储过程中使用的动态SQL.在那里,您可以创建一个使用参数的动态sql语句; 然后,您应该使用动态语句sp_executesql来指定参数.

归档时间:

查看次数:

5568 次

最近记录:

15 年,2 月 前
参数真的足以阻止Sql注入吗? 82
更多相关链接
相关归档
如何将SQL Server 2005数据传输或导出到Excel 47
如何获取本地计算机上所有MS SQL Server实例的列表? 30
更新或删除的行值不会使行唯一,也不会更改多行 22
在SQL Server中转义单引号 16
复制文章的T-SQL查询 11
算术/逻辑运算基于列值 11
使用LINQ修复'字符串或二进制数据的任何聪明方法都会被截断'警告 10
SQL Azure V12 BACPAC导入错误."无法从包中读取模式模型标头信息.不支持模型版本'3.5' 8
具有默认列的列与具有默认约束的列之间有什么区别? 7
插入多个选择 7
难疑归档
如何在JavaScript中创建字符串大写的第一个字母? 3565
如何制作一个很好的R可重复的例子 2474
如何从Java中的字符串值获取枚举值? 1890
动态创建元素的事件绑定? 1677
如何从Python字典中删除密钥? 1539
在上传图像之前预览图像 1476
用于更新和删除的HTTP状态代码? 1264
迭代集合,在循环中删除对象时避免使用ConcurrentModificationException 1158
AngularJS中指令范围内的'@'和'='有什么区别? 1053
测量Python中经过的时间? 1031