那么,我正在阅读有关SQL注入的知识,但是我没有意识到它可能发生在Visual Basic .NET中 - 我使用的是2008-因为我刚刚在PHP中读到它,问题是:我怎样才能避免这种情况?因为一个朋友在几分钟前就做出了这个问题,这是我的桌面应用程序的安全问题。在Visual Basic 2008中的SQL注入
-Thanks-
那么,我正在阅读有关SQL注入的知识,但是我没有意识到它可能发生在Visual Basic .NET中 - 我使用的是2008-因为我刚刚在PHP中读到它,问题是:我怎样才能避免这种情况?因为一个朋友在几分钟前就做出了这个问题,这是我的桌面应用程序的安全问题。在Visual Basic 2008中的SQL注入
-Thanks-
SQL注入攻击不是语言特定的。如果您接受用户输入并将其直接插入到SQL查询中而不进行消毒,那么您的应用程序很容易受到SQL注入的影响。
有关如何避免SQL注入攻击的更多详细信息,请参见this answer。
您应该从中取走的一般想法是永远不要相信用户输入。
这适用于所有相似的语言:
Thanx,但我的意思是没有功能或类似的东西?像在PHP中创建你的代码来避免这些? – DFabeiro 2012-07-27 14:15:16
在PHP中,你不应该使用类似mysql_real_escape()的东西,你应该使用带有参数化查询的MySQLi。同样在VB .NET中,你应该使用LINQ和SqlParameter(http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlparameter.aspx#Y213)来构建你的查询。 – hsanders 2012-07-27 14:18:04
非常感谢 – DFabeiro 2012-07-27 14:26:44
逃离你的字符串?这是我在Stackoverflow上见过的最迷惑的问题。添加更多细节。尝试包括一些代码。 – Wug 2012-07-27 14:03:33
基本上你使用参数化查询。搜索这里你会发现它的负载。 – 2012-07-27 14:13:45
谢谢多数民众赞成我在做什么() – DFabeiro 2012-07-27 14:25:27