在分页的时候有时会在存储过程中凭借sql，在调用sp_executesql执行，...这里防数据库注入

[已解决问题] 解决于 2015-11-16 21:47

简单说就是如果执行的sql是在存储过程中拼接的，而且需要传入的参数作为拼接的sql的一部分，这时为防止数据库注入，一般怎么做。

例如：

在分页的时候有时会在存储过程中凭借sql，在调用sp_executesql执行，需要的参数比如where条件，order什么的都是存储过程的参数传递进入然后拼接到sql字符串的，那么怎么防止传入非法的字符而导致的数据库注入？

sqlserver 数据库注入

北在北方 | 初学一级 | 园豆：180
提问于：2015-11-16 10:24

< >

最佳答案

1.数据库的安全性肯定要在数据访问层或者说数据访问工具实现

2.将字符串中的非法字符替换了。比如单引号换成2个单引号。不过这个要看你要的数据库的具体语法

奖励园豆：5

吴瑞祥 | 高人七级 |园豆：29449 | 2015-11-16 10:39

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。