0
如果我需要将数据插入表中,使用SqlParameter是一个最佳选择。 但是我听到有人说SqlParameter在SQL注入方面仍然存在一些缺陷。 证明是联系一个sql字符串并运行exec命令。在这种情况下,SQL注入仍然存在一些风险。使用SqlParameter可以完全避免SQL注入?
但我的问题是,如果我只使用SqlParameter在没有exec命令的情况下将数据插入到表中,我仍然有SQL注入风险吗?
A
回答
1
exec示例的问题是您正在运行两个查询。第一个查询使用concation生成第二个sql字符串,然后执行第二个查询。
只要你保持你的命令和你的数据通道是分开的(保持查询将独立于查询将运行的变量值),你不能有SQL注入(如定义的SQL注入正在使用数据通道来滑入某个命令通道)
1
是的,只要您可以使用参数每个语句动态添加到查询中。太糟糕了,大多数框架并不允许你这样做,但只适用于一些简单的数据类型。
相关问题
- 1. 避免SQL注入
- 2. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 3. 如何使用sp_executesql避免SQL注入
- 4. 避免使用connection.execute进行sql注入
- 5. PHP代码,以避免SQL注入
- 6. 可以用一个好的设计完全避免使用?
- 7. Spring(MVC)SQL注入避免?
- 8. 是否有可能完全免疫SQL注入?
- 9. Spring中的SimpleJdbcTemplate是否可以避免SQL注入?
- 10. Doctrine persist()是否可以避免SQL注入?
- 11. YII一堆插入 - 避免SQL注入
- 12. 我可以通过使用参数避免所有SQL注入攻击吗?
- 13. 我们完全可以避免使用Scala并简单地使用Play!框架
- 14. 使用非SQL数据库是否避免防范“SQL注入”?
- 15. “mysqli_real_escape_string”足以避免SQL注入或其他SQL攻击吗?
- 16. 如何避免codeigniter中的sql注入
- 17. 在PHP中避免SQL注入
- 18. Zend公司Db的避免SQL注入
- 19. MongoDB如何避免SQL注入混乱?
- 20. PHP - MySQL的避免SQL注入
- 21. 避免sql注入ActiveRecord命令
- 22. Zend db - 何时应该引用以避免sql注入?
- 23. 在ZEND中引用原始数据库以避免sql注入
- 24. 在PHP中避免SQL注入的最安全方法?
- 25. 这个存储过程是否安全,避免SQL注入?
- 26. 使用全局对象避免角度依赖注入
- 27. 在输入中禁止使用单引号足以避免SQL注入吗?
- 28. 使用ASP.net保存用户代理时避免SQL注入
- 29. CSS边缘可以完全避免填充?
- 30. 完全避免Chrome自动完成
您可以在本主题中获得一些信息。这个问题似乎是相同的:http://stackoverflow.com/questions/306668/are-parameters-really-enough-to-prevent-sql-injections –
你如何分享代码,我会尝试注入一些SQL到它 –