0
有人告訴我,如果在C#中使用SqlCommand並且要爲該命令添加參數,它會增加安全性,因爲它可以防止Sql Injection。我想知道這是否是事實。如果是這樣,它如何停止Sql注入,因爲我的理解是,當使用參數時,它只是在Sql命令中的某個點處插入一個字符串。所以這個字符串可以是任何東西,使Sql注入成爲可能,對嗎?SqlCommand參數說明
A
回答
3
這不是一個簡單的替換。該框架將換碼發送值(尤其是字符串),[作爲RPC調用的一個單獨部分],以便不可能將值作爲代碼執行。
感謝@PanagiotisKanavos的correction(6年後)。
相關問題
- 1. 參數值說明
- 2. getElementByID()參數說明
- 3. 說明參數argparse.ArgumentParser()函數
- 4. Scala參數類型說明
- 5. JQuery .post()ajax參數說明
- 6. 請說明startActivityForResult的參數
- 7. DOJO:功能參數說明
- 8. SqlCommand參數與String.Format
- 9. SqlCommand參數替換
- 10. CPP常量函數參數說明
- 11. cv2.cornerSubPix函數:參數說明
- 12. 請說明這個函數的參數
- 13. SqlCommand返回值參數
- 14. Sqlcommand參數未執行
- 15. SqlCommand和SqlDataAtapter的參數
- 16. 參數不具有的SqlCommand
- 17. SqlCommand的參數不承認
- 18. SqlCommand參數添加與AddWithValue
- 19. SqlCommand時使用的參數
- 20. SqlCommand的參數飲食+
- 21. 問題與SqlCommand的參數
- 22. 「必須聲明標量變量」參數(C#SqlCommand)
- 23. do.call中正確的參數說明
- 24. 參數說明中的對象
- 25. php中的$ _FILES參數說明
- 26. cv2.filter2d()opencv中ddepth參數的說明?
- 27. 沒有類型說明符的參數
- 28. 顯示文字參數說明
- 29. 通過數值/指針/參考說明
- 30. RHO的說明和HoughLines THETA參數
好的,所以框架將刪除刻度標記''內的數字或任何東西? –
不,它將包含勾號作爲查詢的一部分。所以如果你的領域是一個數字,並有這樣的事情。 '+ 0 = 0',那麼整個事件將是參數,並且查詢將會錯誤,而不是要修改查詢的注入意圖。錯誤是你想要的。 –
不,它不會刪除任何內容,只會對它進行編碼,以便在寫入時可以將其存儲在數據庫中。 SqlParameter還關心匹配列存儲的數據類型,並對其進行適當編碼,並檢查綁定條件,如字符串是否適合存放VARCHAR(n)的列。 –