2
我运行的ASPX和SQL Server支持的Web应用程序,现在我想禁用多个语句的执行,如select 1,2,3; select 1,2,3在SQL Server中禁用多个语句?
所以,我可以禁用该功能,或是否需要修改连接字符串,使这行得通?
A
回答
7
Microsoft SQL Server没有限制每批语句数量的选项。
虽然有些SQL注入攻击依赖于在批处理中注入额外语句,但其他SQL语句只是试图将语句随时更改为自己的优势。通过实施这个想法可以防止第一种类型。但是,第二种类型不能。
SQL注入的标准的例子是登录查询:
SELECT * FROM dbo.users WHERE user_name = '?' and password = '?';
如果使用手动参数替代和攻击类型
admin';--
用户名和任何密码,应用程序获取如果真正的管理员输入了正确的密码,它将从数据库获得相同的响应。
在这次攻击中,批处理仍然只包含一个语句,所以你的“技巧”不会阻止它。
总的来说,最好是首先防止注射。在使用它构建任何类型的动态语句(不仅仅是SQL语句)之前,请始终验证所有用户输入。
在SQL中使用预准备语句或存储过程并使用API函数替换参数值。
一个很好的起点为防注入的模式是这样的TechNet文章:http://technet.microsoft.com/en-us/library/ms161953(v=sql.105).aspx
相关问题
- 1. 在多语句TVF中使用多个IF ELSE Sql Server
- 2. 如何注入禁用多个语句?
- 3. where语句中的case语句 - SQL Server
- 4. 在INSERT语句中使用ROWLOCK(SQL Server)
- 5. SQL SERVER 2008:尝试使用1个SQL语句插入多行
- 6. SQL Server上ado.net中的多个参数化sql语句
- 7. 我可以在SQL Server Compact 4中执行多个语句吗?
- 8. 如何在SQL Server 2012中结合多个IIF语句
- 9. case语句 - SQL Server 2008中
- 10. SQL Server中的CASE语句
- 11. 如何在SQL Server中的单独SQL语句上使用多个CTE?
- 12. 如何在CASE语句中的THEN子句中传递多个值sql server
- 13. SQL server T-SQL语句
- 14. 如何在SQL Server的Case语句内执行多个If语句
- 15. 在SQL中的where子句中使用多个if语句
- 16. SQL Server 2012 - Case语句在where子句
- 17. IF在SQL Server语句的where子句
- 18. 如何将WHERE子句应用于SQL Server中的多个SELECT语句
- 19. SQL Server存储过程,在Else语句CASE子句中返回多个值
- 20. SQL Server中使用CASE WHEN THEN语句
- 21. 尝试使用CASE语句在SQL Server
- 22. 在SQL Server中生成CREATE INDEX语句
- 23. 在SQL Server中不工作Select语句
- 24. 在Sql Server中编写TRANSFORM语句
- 25. 在sql server中递归更新语句
- 26. SQL SERVER CAL函数在IN语句中
- 27. SQL Server - 在UPDATE语句中加入
- 28. 在SQL Server中选择Case语句
- 29. 在SQL Server中更新Select Case语句:
- 30. “dynamic”在sql server 2008中的语句r2
你不能。除此之外,你为什么要这样做? –
您是否试图保护自己免受SQL注入? –
@ MarkStorey-Smith我发现MySQL可以手动禁用该功能,然后我想到了MSSQL。请检查我的回复Sebastian – daisy