0
大家好我目前在ASP.NET中使用查詢生成器來創建選擇,插入,更新查詢等等,我已經在我的App_Code文件夾中創建的一些數據集。我已經意識到你要在查詢中使用參數,你必須使用「?」像這樣查詢生成器是否阻止SQL注入?
SELECT * FROM users WHERE email = ?
什麼,我想知道是,這實際上保護你的表從SQL注入或做你需要做更多的代碼,以保護查詢?
A
回答
2
參數化查詢接受參數並將它們輸入爲適當的SQL數據類型。因此,例如創建這個PROC
CREATE PROCEDURE GetStudent (IN LN VARCHAR(200))
BEGIN
SELECT Name FROM Students WHERE LastName = LN;
END
,並把該值(假設這是你的C#代碼。
"'Bobby'; DROP TABLE STUDENTS;"
基本上將執行這個查詢
SELECT Name FROM Students WHERE LastName ='''Bobby;''DROP TABLE Students'
這是相當安全的。
當然,您將不得不適應您的特定應用需求,但一般要點是參數化查詢對於所有主要RDMS的SQL注入是安全的。
相關問題
- 1. 是否阻止查詢命令足以防止SQL注入?
- 2. namedparameter查詢如何阻止SQL注入
- 3. 阻止SQL查詢將查詢生成器與DB :: raw()
- 4. 僅SSL是否阻止SQL注入?
- 5. 這個動態SQL查詢生成是否安全注入?
- 6. 防止SQL注入查詢
- 7. 原始查詢內部查詢生成器可以使用laravel查詢生成器保護sql注入?
- 8. PHP MySQLI阻止SQL注入
- 9. 阻止SQL注入C
- 10. PHP阻止SQL注入
- 11. pg_prepare()預處理語句(不是PDO)是否阻止SQL注入?
- 12. hibernate命名查詢是否可以防止SQL注入攻擊?
- 13. 如何阻止此查詢的SQL注入?
- 14. codeigniter查詢生成器和活動記錄sql注入
- 15. 如何測試SQL注入是否被阻止?
- 16. oci_bind_by_name是否安全地阻止SQL注入?
- 17. SQL CLR存儲過程是否阻止注入?
- 18. IOUtils.copy是否阻止寫入完成?
- 19. 是否有SQLite3查詢生成器?
- 20. 是否有SolrJ查詢生成器?
- 21. SQL查詢生成器
- 22. Php sql查詢生成器
- 23. SQL查詢到Laravel查詢生成器
- 24. Rails的SQL查詢生成器......還是ActiveRecord的查詢生成器
- 25. 是否可以將DQL查詢生成器轉換爲查詢生成器?
- 26. Sql注入查詢
- 27. psychopg2:是否cursor.mogrify防止sql注入?
- 28. 此代碼是否防止SQL注入?
- 29. 加密是否防止sql注入?
- 30. Laravel 5:原生SQL查詢生成器
嗨尼克感謝您的回覆,但你的建議似乎並沒有工作:(但我的方式,我的查詢是仍然可以SQL注入? – 2015-03-31 14:21:43
你可以澄清你的意思是「似乎沒有工作「? – 2015-03-31 14:34:53
我設置了查詢就像你有,如果不返回任何東西,當我創建它我得到一個警告,告訴我語法無效 – 2015-03-31 14:36:13