那些遇到过的问题

Sql注入攻击和亚音速

The*_*iot 2 c# subsonic sql-injection

如果我使用SubSonic为我的Web项目创建DAL,我是否需要担心防止SQL注入攻击?

Paw*_*iak 6

不,SubSonic使用参数将数据传递到数据库,它负责这一点.

P a*_*u l 6

这取决于您构建查询的方式.如果不使用参数,完全可以用亚音速编写不安全的查询.

// Bad example:

string sql = "delete from Products where ProductName = " + rawUserInput;
QueryCommand qry = new QueryCommand(sql, Product.Schema.Provider.Name);
DataService.ExecuteQuery(qry);

// Should be:

string sql = "delete from Products where ProductName = @TargetName";
QueryCommand qry = new QueryCommand(sql, Product.Schema.Provider.Name);
qry.AddParamter("@TargetName", rawUserInput, DbType.String);
DataService.ExecuteQuery(qry);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1546 次

最近记录:

16 年,6 月 前
相关归档
如何检测文本文件的编码/代码页 292
在单元测试中设置HttpContext.Current.Session 180
从app.config文件中读取 130
可以通过foreach向后迭代? 117
Web Api属性路由中的可选参数 81
由于.NET有垃圾收集器,为什么我们需要终结器/析构函数/ dispose-pattern? 67
如何根据文化信息获取日期和时间格式? 50
在XAML中绑定到Self /'this' 48
SQL注入是否适用于WMI查询? 5
如何防止SQL注入 4
难疑归档
如何在shell脚本中打印JSON? 2905
__str__和__repr__之间的区别? 2545
做一个"git export"(比如"svn export")? 2312
如何比较两个不同分支的文件? 1430
PHP中的startsWith()和endsWith()函数 1409
你如何存放未跟踪的文件? 1287
Markdown中的评论 1277
MVC和MVVM有什么区别? 1275
将ArrayList <String>转换为String []数组 1102
什么是"Linting"? 1044