0
大家好我目前在ASP.NET中使用查询生成器来创建选择,插入,更新查询等等,我已经在我的App_Code文件夹中创建的一些数据集。我已经意识到你要在查询中使用参数,你必须使用“?”像这样查询生成器是否阻止SQL注入?
SELECT * FROM users WHERE email = ?
什么,我想知道是,这实际上保护你的表从SQL注入或做你需要做更多的代码,以保护查询?
A
回答
2
参数化查询接受参数并将它们输入为适当的SQL数据类型。因此,例如创建这个PROC
CREATE PROCEDURE GetStudent (IN LN VARCHAR(200))
BEGIN
SELECT Name FROM Students WHERE LastName = LN;
END
,并把该值(假设这是你的C#代码。
"'Bobby'; DROP TABLE STUDENTS;"
基本上将执行这个查询
SELECT Name FROM Students WHERE LastName ='''Bobby;''DROP TABLE Students'
这是相当安全的。
当然,您将不得不适应您的特定应用需求,但一般要点是参数化查询对于所有主要RDMS的SQL注入是安全的。
相关问题
- 1. 是否阻止查询命令足以防止SQL注入?
- 2. 阻止SQL查询将查询生成器与DB :: raw()
- 3. 仅SSL是否阻止SQL注入?
- 4. 防止SQL注入查询
- 5. 原始查询内部查询生成器可以使用laravel查询生成器保护sql注入?
- 6. 阻止SQL注入C
- 7. PHP阻止SQL注入
- 8. PHP MySQLI阻止SQL注入
- 9. pg_prepare()预处理语句(不是PDO)是否阻止SQL注入?
- 10. 如何阻止此查询的SQL注入?
- 11. codeigniter查询生成器和活动记录sql注入
- 12. 如何测试SQL注入是否被阻止?
- 13. SQL CLR存储过程是否阻止注入?
- 14. oci_bind_by_name是否安全地阻止SQL注入?
- 15. SQL查询生成器
- 16. 是否有SolrJ查询生成器?
- 17. 是否有SQLite3查询生成器?
- 18. SQL查询到Laravel查询生成器
- 19. 是否可以将DQL查询生成器转换为查询生成器?
- 20. Sql注入查询
- 21. 加密是否防止sql注入?
- 22. psychopg2:是否cursor.mogrify防止sql注入?
- 23. Laravel 5:原生SQL查询生成器
- 24. CodeIgniter会自动阻止SQL注入吗?
- 25. 如何防止从UI中传入SQL查询时发生SQL注入攻击
- 26. 这些SQL查询中是否存在SQL注入攻击?
- 27. WatchService是否应该阻止注册?
- 28. 这是防止SQL注入Wordpress查询的最佳方法
- 29. Java/Hibernate标准查询API是否防止注入?
- 30. 阻止SQL Server中的查询重写
嗨尼克感谢您的回复,但你的建议似乎并没有工作:(但我的方式,我的查询是仍然可以SQL注入? – 2015-03-31 14:21:43
你可以澄清你的意思是“似乎没有工作“? – 2015-03-31 14:34:53
我设置了查询就像你有,如果不返回任何东西,当我创建它我得到一个警告,告诉我语法无效 – 2015-03-31 14:36:13