0
如果我需要將數據插入表中,使用SqlParameter是一個最佳選擇。 但是我聽到有人說SqlParameter在SQL注入方面仍然存在一些缺陷。 證明是聯繫一個sql字符串並運行exec命令。在這種情況下,SQL注入仍然存在一些風險。使用SqlParameter可以完全避免SQL注入?
但我的問題是,如果我只使用SqlParameter在沒有exec命令的情況下將數據插入到表中,我仍然有SQL注入風險嗎?
A
回答
1
exec示例的問題是您正在運行兩個查詢。第一個查詢使用concation生成第二個sql字符串,然後執行第二個查詢。
只要你保持你的命令和你的數據通道是分開的(保持查詢將獨立於查詢將運行的變量值),你不能有SQL注入(如定義的SQL注入正在使用數據通道來滑入某個命令通道)
1
是的,只要您可以使用參數每個語句動態添加到查詢中。太糟糕了,大多數框架並不允許你這樣做,但只適用於一些簡單的數據類型。
相關問題
- 1. 避免SQL注入
- 2. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 3. 如何使用sp_executesql避免SQL注入
- 4. 避免使用connection.execute進行sql注入
- 5. PHP代碼,以避免SQL注入
- 6. 可以用一個好的設計完全避免使用?
- 7. Spring(MVC)SQL注入避免?
- 8. 是否有可能完全免疫SQL注入?
- 9. Spring中的SimpleJdbcTemplate是否可以避免SQL注入?
- 10. Doctrine persist()是否可以避免SQL注入?
- 11. YII一堆插入 - 避免SQL注入
- 12. 我可以通過使用參數避免所有SQL注入攻擊嗎?
- 13. 我們完全可以避免使用Scala並簡單地使用Play!框架
- 14. 使用非SQL數據庫是否避免防範「SQL注入」?
- 15. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 16. 如何避免codeigniter中的sql注入
- 17. 在PHP中避免SQL注入
- 18. Zend公司Db的避免SQL注入
- 19. MongoDB如何避免SQL注入混亂?
- 20. PHP - MySQL的避免SQL注入
- 21. 避免sql注入ActiveRecord命令
- 22. Zend db - 何時應該引用以避免sql注入?
- 23. 在ZEND中引用原始數據庫以避免sql注入
- 24. 在PHP中避免SQL注入的最安全方法?
- 25. 這個存儲過程是否安全,避免SQL注入?
- 26. 使用全局對象避免角度依賴注入
- 27. 在輸入中禁止使用單引號足以避免SQL注入嗎?
- 28. 使用ASP.net保存用戶代理時避免SQL注入
- 29. CSS邊緣可以完全避免填充?
- 30. 完全避免Chrome自動完成
您可以在本主題中獲得一些信息。這個問題似乎是相同的:http://stackoverflow.com/questions/306668/are-parameters-really-enough-to-prevent-sql-injections –
你如何分享代碼,我會嘗試注入一些SQL到它 –