我有一個存儲過程,它將根據用戶輸入到標準搜索文本框中的內容返回搜索結果。在搜索框中按下後,我將查詢傳遞給search.aspx?q =無論用戶輸入什麼內容。存儲過程查詢中的SQL注入
search.aspx具有接受查詢字符串paramater並調用存儲過程,而加入了一些表,幷包含一個SqlDataSource以下where子句...
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query
or n.note like '%' + @query + '%')
...這是SQL注入安全即使用這樣的參數?
謝謝,
不,它不是,它如果遠離安全。 – ljh
我問過那麼好的工作!推薦什麼? – thegunner
@ljh你會關心嗎?該查詢通過使用參數來清理輸入。它對我來說看起來很安全。 – Dan