0
任何人都可以告诉我一种方法来防止在建立 WHERE子句有"myval IN (string_1, ... , string_n)"条件的查询时的sql注入?带有字符串列表的SQLite注入
我虽然关于动态构建带有注释的命令文本,并为字符串列表中的这些注释添加参数。有更容易的方法吗 ?
谢谢。
A
回答
5
不,没有简单的方法。不要列出危险字符。只需使用带参数的命令。
using (var conn = new SQLiteconnection(connectionString))
using (var command = conn.CreateCommand())
{
conn.Open();
command.CommandText = "select name from persons where id = @id";
command.Parameters.AddWithValue("@id", 5);
using (var reader = command.ExecuteReader())
{
while (reader.Read())
{
}
}
}
相关问题
- 1. 带NUL的SQLite字符串
- 2. 在CDI中注入带有限定符的字符串
- 3. SQL更新带有字符串值列表的ID的字符串列表
- 4. 带整数列存储字符串的SQLite表
- 5. 插入带有特殊字符的字符串到列中
- 6. 将带有字符串的列表转换为带有浮点的列表
- 7. 带有嵌入式子列表和字符串的Python len函数列表
- 8. 将sqlite int表转换为字符串,然后输入列表
- 9. 插入带有''“的字符串到oracle
- 10. 带列表的Python连续字符串
- 11. @字符串列表中的@Pattern注释
- 12. 带列表的SQLite
- 13. Zend_Config的注入字符串
- 14. 加入字符串列表
- 15. 将仅有字符串的列表转换为带有字符串和浮点数的Python子列表
- 16. SQLite - 将表名的列名存储在字符串列表中
- 17. 带有字符串变量列名的Linq插入
- 18. 插入带有已删除字符串的表中的记录
- 19. 地带的所有的字符串列表的
- 20. 连接字符串注入
- 21. 注入字符串'cin'
- 22. 查找带有字符串的最后一个逗号SQLITE
- 23. 插入Ruby的字符串到sqlite的
- 24. 将带有特殊字符的字符串插入到RTF中
- 25. 带有字符串的可枚举选择列表ASP.NET MVC
- 26. 隐藏带有未定义字符串的列表项目
- 27. 带有字符串和对象列表的嵌套中继器
- 28. 在列表活动中删除带有contextmenu的子字符串
- 29. 循环搜索带有本地列表的字符串变量
- 30. 带特殊字符的列注释