0
我的理解是参数化查询和存储过程都有助于防止sql注入。绑定变量和存储过程
参数化查询是否无法注入sql?
使用非常糟糕的存储过程进行参数化查询会导致无法注入sql吗?
是否存在以上两种情况的示例?谢谢
A
回答
1
是的,参数化查询和存储过程确实帮助防止SQL注入。
但是说他们让它变得不可能只是一点点。当写入查询时,通过使用参数和注意事项肯定可以阻止注入。
但是_very bad_查询或存储过程仍然可能受到注入。
一个例子是使用存储过程或查询动态SQL查询:
CREATE STORED PROCEDURE [BadStoredProcedure]
(@columnList varchar(MAX))
AS
BEGIN
DECLARE @sqlCommand varchar(1000)
SET @sqlCommand = 'SELECT ' + @columnList + ' FROM Customers'
EXEC (@sqlCommand)
END
想如果*; TRUNCATE TABLE Customers; SELECT *传递到@columnList
相关问题
- 1. 变量和存储过程
- 2. 存储过程和变量
- 3. MySQL存储过程变量
- 4. 存储过程变量
- 5. 存储过程变量
- 6. 全局变量(存储器绑定)
- 7. 如何让存储过程从变量表和存储特定值
- 8. 存储过程与参数绑定
- 9. 绑定组合框到存储过程
- 10. 绑定MVC网格以存储过程与大量数据
- 11. 存储过程:变量表名称
- 12. 使用变量创建存储过程
- 13. SQL Server存储过程声明变量
- 14. SQL存储过程 - 变量太短
- 15. mysql 5.1存储过程限制变量
- 16. 存储过程的动态SQL变量
- 17. MySQL的存储过程设置变量
- 18. 变量的存储过程参数
- 19. 存储过程输出值到变量
- 20. 存储过程字段变量
- 21. SQL存储过程变量空检查
- 22. MySQL的存储过程变量
- 23. 存储过程输出变量
- 24. 在存储过程中声明变量
- 25. sas存储过程中的宏变量
- 26. 重置一个存储过程变量
- 27. 在存储过程中使用变量
- 28. MySQL存储过程变量返回NULL
- 29. 存储过程,以表变量问题
- 30. MYSQL存储过程变量while循环
“发生了什么,但称他们使它不可能是一点一个延伸,注入肯定会受到参数的阻碍,但其他类型的攻击也许是可能的。“还有哪些类型的攻击是可能的? – user2656984
@ user2656984 - 从我的回答中引用文字根本没有帮助,但我没有改变。希望这会回答你的问题。 –
我更担心参数化查询。我知道存储过程中的动态查询可以按照您的示例进行注入:) 我对参数化查询的工作方式的理解是在一系列准备和执行过程中:第一个序列是发送到服务器的“准备查询”第二步是使用参数发送到服务器的“executequery”。 “_vary bad_”查询是什么意思,任何例子? – user2656984