首页 新闻 会员 周边 捐助

sql 全文检索如何防止SQL注入,或如何参数化?

0
悬赏园豆:30 [已解决问题] 解决于 2014-03-23 22:13

如:

SELECT * FROM BookDetail WHERE CONTAINS(Content,'"关键字1" OR "关键字2" OR "关键字3"')

前台传入时是一个TextBox,输入 “关键字1 关键字2 关键字3 关键字4...”,前台输入可以随意,如果拼SQL才能形成上面的查询,那么就存在SQL注入的风险,如何参数化或避免这种风险?

我的要求是特殊字符也是要能查出来的,比如支持单引号的查询,“OR” “SELECT”的查询,因为内容中确实存"OR SELECT"在这样的数据。

问题补充:

现在使用的是EF,但没有找到支持全文搜索的办法。但如果使用SQL查询,又存在SQL注入的风险。
空明流光的主页 空明流光 | 初学一级 | 园豆:111
提问于:2014-03-22 13:04
< >
分享
最佳答案
0

建议试试SQL Server的Table-Valued Parameters。

参考博文:

Table-values parameter(TVP)系列之一:在T-SQL中创建和使用TVP

Table-values parameter(TVP)系列之二: 利用DataTable将其作为参数传给SP

收获园豆:30
dudu | 高人七级 |园豆:30778 | 2014-03-22 14:29
其他回答(2)
0

EF 本身就可以防止注入了

Yu | 园豆:12990 (专家六级) | 2014-03-22 13:36

关键是EF好像不支持全文索引检索

支持(0) 反对(0) 空明流光 | 园豆:111 (初学一级) | 2014-03-22 14:42
0

SQL注入攻防入门详解

可以试试里面的关键字过滤的办法

滴答的雨 | 园豆:3660 (老鸟四级) | 2014-03-22 13:56
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册