1
我有一个动态构建的SQL,如下所示。我的问题是,是否容易受到SQL注入?如果是的话,我应该如何解决它?带有LIKE子句和SQL注入的SQL Server动态SQL
--search title only
if @SearchType =2
BEGIN
SET @strSQL = @strSQL + 'AND (IDownload.FileTitle LIKE ''%'[email protected]+'%'' ) '
END
是的,它可以通过对动态SQL使用适当的参数化来解决(例如,使用带@search的sp_executesql作为参数)。 – ZLK
@ZLK如果我的服务器端代码(c#)已经在使用正确的参数化和准备好的语句,我的SQL Server代码仍然很脆弱? –
是的,由于当前语句的写法,它仍然很脆弱。 – ZLK