-1
以下是否暴露了Sql Injection攻击矢量?如果它确实如何防止它?带参数的Sql注入
@bookId = '1234;' + 'Drop table Books;'
Select * from Books where bookId = @bookId
不会这样执行吗? :
Select * from Books where bookId = 1234; Drop table Books;
A
回答
5
不,它不会。这不是参数化的工作原理。参数化不是字符串连接。
此代码将尝试查找ID为1234;Drop table Books;的书。如果bookId是integer,那么它将在类型转换中失败。
你很安全。
+0
所以编译器不会简单地用它的值替换'@ Parameter'部分? – phadaphunk
+0
@PhaDaPhunk - 这不是编译器在这里工作。它是数据库驱动程序 - 它将会跳过参数并执行其他操作。 – Oded
+0
哦,我非常感谢! – phadaphunk
1
相关问题
- 1. 注入带注释的方法参数
- 2. 参数和SQL注入asp.net
- 3. ADO Command.Execute带有数组参数和SQL注入
- 4. 带有参数化过程的SQL注入
- 5. 带有函数调用的SQL注入
- 6. Java Spring - 将参数注入带注解的超类
- 7. t-sql插入 - 选择 - 带参数
- 8. SQL动态注入动态参数
- 9. 防止SQL注入 - 但没有参数
- 10. 创建参数来停止sql注入
- 11. C#和SQL参数,以防止注入
- 12. SQL注入串联VS参数
- 13. 使用int参数的SQL注入漏洞使用int参数
- 14. 带有union和load_file的SQL注入()
- 15. ASP.NET 5依赖注入,注入参数
- 16. 从SQL注入安全参数插入数据库?
- 17. 多次插入带有参数的SQL的变量数
- 18. 带有LIKE子句和SQL注入的SQL Server动态SQL
- 19. 带参数的CDI注入,哪里是实例?
- 20. 带有可选参数的ASP.NET核心依赖注入
- 21. Python PYDOBC插入带有参数的SQL Server数据库
- 22. FormsOf函数和SQL注入中的参数
- 23. 格式函数与SQL注入场景中的参数?
- 24. 带一个参数的PL/SQL函数
- 25. 带注释的带格式的SQL
- 26. 插入带有参数的SQL Server的多行
- 27. 匕首2注入参数
- 28. 防止GET参数注入
- 29. Angularjs依赖注入参数
- 30. AutoMapper依赖注入参数
当您运行该命令时会发生什么? – JSR
通过不将未过滤的用户输入传递到数据库层。没有有用的方法来回答这个问题,因为你只是把它标记为“sql”。您的用户无法直接向您的数据库服务器提供输入。 “SQL注入”在这个级别上没有任何意义。 – meagar
@meagar是的,我知道我在这里暗示了一点点。但是你得到了点 – phadaphunk