0
有沒有一種方法(特別是使用ASP.net工具)來避免參數化查詢以外的sql注入?參數化查詢是避免sql注入的唯一方法嗎?
有沒有一種方法(特別是使用ASP.net工具)來避免參數化查詢以外的sql注入?參數化查詢是避免sql注入的唯一方法嗎?
是的,當然。除了參數化查詢,你也應該考慮這些:
我希望它對您有所幫助。
最簡單的方法之一就是我所說的消毒。在構建SQL語句時只需要Replace(vsInputString, "'", "''")
:
Dim vsSQLStatement = "SELECT * FROM table01 WHERE myField = '" & Replace(vsFormTextInput, "'", "''") & "';"
也將幫助停止SQL注入。
參數化查詢有什麼問題? –
看看使用ORM我想...但即使這些只會爲你做... – sgeddes
有一個DLL的antixssLibrary可用,你應該使用的 –