防止sql 注入的疑问

[已关闭问题]

在网上看了下。有人说使用存储过程。或者参数可以防止sql注入但是有人说又不可以。哪位高手能帮忙看看应该怎么处理。给个具体实例

.NET技术 ASP.NET

yzy | 菜鸟二级 | 园豆：317
提问于：2010-01-22 10:03

< >

其他回答(3)

在存储过程中拼接字符的话还是有可能被注入的。

主要是参数化的过程，你也可以在查询中将用户数据参数化。

尽一切手段不使用sql字串拼接，或使用前严格检查类型过滤敏感字符。

或使用Linq。

风海迷沙 | 园豆：4453 (老鸟四级) | 2010-01-22 10:54

linq不也是sql拼接的吗？我也不知道。

woodynet | 园豆：6 (初学一级) | 2010-01-22 12:51

看MSDN Webcast最新视频：Web应用的安全攻防之SQL注入攻击(SQL Injection)

里面有详细讲解

vons | 园豆：1033 (小虾三级) | 2010-01-22 14:51

存储过程，或者参数，用好了就能防止，用不好就不能。字符串也一样。

支持(0) 反对(0) vons | 园豆：1033 (小虾三级) | 2010-01-22 17:03

linq最后生成的sql并不是通过拼接出来的，微软已经想到了这点，加入了防止sql注入的机制。就像一楼说尽量不要使用拼接字符串的方式，要使用参数的方式。

Ou lei | 园豆：619 (小虾三级) | 2010-01-22 16:54

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。