2
我運行的ASPX和SQL Server支持的Web應用程序,現在我想禁用多個語句的執行,如select 1,2,3; select 1,2,3在SQL Server中禁用多個語句?
所以,我可以禁用該功能,或是否需要修改連接字符串,使這行得通?
A
回答
7
Microsoft SQL Server沒有限制每批語句數量的選項。
雖然有些SQL注入攻擊依賴於在批處理中注入額外語句,但其他SQL語句只是試圖將語句隨時更改爲自己的優勢。通過實施這個想法可以防止第一種類型。但是,第二種類型不能。
SQL注入的標準的例子是登錄查詢:
SELECT * FROM dbo.users WHERE user_name = '?' and password = '?';
如果使用手動參數替代和攻擊類型
admin';--
用戶名和任何密碼,應用程序獲取如果真正的管理員輸入了正確的密碼,它將從數據庫獲得相同的響應。
在這次攻擊中,批處理仍然只包含一個語句,所以你的「技巧」不會阻止它。
總的來說,最好是首先防止注射。在使用它構建任何類型的動態語句(不僅僅是SQL語句)之前,請始終驗證所有用戶輸入。
在SQL中使用預準備語句或存儲過程並使用API函數替換參數值。
一個很好的起點爲防注入的模式是這樣的TechNet文章:http://technet.microsoft.com/en-us/library/ms161953(v=sql.105).aspx
相關問題
- 1. 在多語句TVF中使用多個IF ELSE Sql Server
- 2. 如何注入禁用多個語句?
- 3. where語句中的case語句 - SQL Server
- 4. 在INSERT語句中使用ROWLOCK(SQL Server)
- 5. SQL SERVER 2008:嘗試使用1個SQL語句插入多行
- 6. SQL Server上ado.net中的多個參數化sql語句
- 7. 如何在SQL Server 2012中結合多個IIF語句
- 8. 我可以在SQL Server Compact 4中執行多個語句嗎?
- 9. 使用SQL Server MERGE語句
- 10. case語句 - SQL Server 2008中
- 11. SQL Server中的CASE語句
- 12. SQL Server中的USE語句
- 13. SQL Server 2008中EXCEPT語句
- 14. 如何在SQL Server中的單獨SQL語句上使用多個CTE?
- 15. 如何在CASE語句中的THEN子句中傳遞多個值sql server
- 16. SQL server T-SQL語句
- 17. 在java中執行多個SQL語句
- 18. 如何在SQL Server的Case語句內執行多個If語句
- 19. 在SQL中的where子句中使用多個if語句
- 20. IF在SQL Server語句的where子句
- 21. SQL Server 2012 - Case語句在where子句
- 22. 如何將WHERE子句應用於SQL Server中的多個SELECT語句
- 23. SQL Server存儲過程,在Else語句CASE子句中返回多個值
- 24. SQL Server中使用CASE WHEN THEN語句
- 25. 嘗試使用CASE語句在SQL Server
- 26. 在Sql Server中編寫TRANSFORM語句
- 27. 功能插入語句在SQL Server中
- 28. 在SQL Server中更新Select Case語句:
- 29. SQL SERVER CAL函數在IN語句中
- 30. 在SQL Server中生成CREATE INDEX語句
你不能。除此之外,你爲什麼要這樣做? –
您是否試圖保護自己免受SQL注入? –
@ MarkStorey-Smith我發現MySQL可以手動禁用該功能,然後我想到了MSSQL。請檢查我的回覆Sebastian – daisy