那些遇到过的问题

避免使用tablename查询SQL注入

cdu*_*dub 0 .net c# sql sql-injection sqlparameter

可能重复:
在.NET中的动态SQL中清理表/列名称?(防止SQL注入攻击)

我有这样的查询:

"SELECT * FROM MyTable_" + myID + " WHERE variable = @variable";
Run Code Online (Sandbox Code Playgroud)

SQL参数化适用于变量,但如何让它与表名一起使用?myID是我传入并更改的int(可以转换为字符串),但是如何防止sql注入?

Guf*_*ffa 5

只要myID是数字变量,它就不能包含任何有害代码.

您需要做的唯一其他事情是确保尝试读取不存在的表的错误消息不会泄漏有关数据库布局的信息,这可能有助于其他类型的攻击.

归档时间:

查看次数:

2678 次

最近记录:

13 年,5 月 前
在.NET中的动态SQL中清理表/列名称?(防止SQL注入攻击) 11
在.NET中的动态SQL中清理表/列名称?(防止SQL注入攻击) 11
更多相关链接
相关归档
在C#'for'循环中进行多次初始化 51
Control.Select()和Control.Focus()之间有什么区别? 48
如果构造函数抛出异常,是否会调用析构函数? 42
在SQL Azure中,如何创建只读用户 29
EndpointDispatcher上的ContractFilter不匹配(错误处理) 29
ImmutableArray <T>和ImmutableList <T>之间的区别 28
ObservableCollection <T> .Move(int,int)如何工作? 22
如何在Oracle中查找模式名称?当您使用只读用户在sql会话中连接时 19
MySQL在JOIN语法中将子查询相关联 18
何时重写GetHashCode()? 18
难疑归档
Reference — What does this symbol mean in PHP? 4314
是否有标准函数来检查JavaScript中的null,undefined或blank变量? 2088
Java内部类和静态嵌套类 1691
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
将文件从主机复制到Docker容器 1391
如何使用jQuery更改超链接的href 1231
如何使用AngularJS在浏览器控制台中访问$ scope变量? 1220
URL.Combine的URL? 1186
在JavaScript中将Unix时间戳转换为时间 1054
如何在Java中创建通用数组? 1045