首页 新闻 搜索 专区 学院

防止sql 注入 的疑问

0
[已关闭问题]

在网上看了下。有人说 使用存储过程。或者参数可以防止sql注入 但是有人说又不可以。哪位高手能帮忙看看应该怎么处理。给个具体实例

yzy的主页 yzy | 菜鸟二级 | 园豆:317
提问于:2010-01-22 10:03
< >
分享
其他回答(3)
0

在存储过程中拼接字符的话还是有可能被注入的。

主要是参数化的过程,你也可以在查询中将用户数据参数化。

尽一切手段不使用sql字串拼接,或使用前严格检查类型过滤敏感字符。

或使用Linq。

风海迷沙 | 园豆:4453 (老鸟四级) | 2010-01-22 10:54
0

linq不也是sql拼接的吗?我也不知道。

woodynet | 园豆:4 (初学一级) | 2010-01-22 12:51
0

看MSDN Webcast最新视频 :Web应用的安全攻防之SQL注入攻击(SQL Injection)

里面有详细讲解

vons | 园豆:1033 (小虾三级) | 2010-01-22 14:51
存储过程,或者参数,用好了就能防止,用不好就不能。字符串也一样。
支持(0) 反对(0) vons | 园豆:1033 (小虾三级) | 2010-01-22 17:03
0

linq最后生成的sql并不是通过拼接出来的,微软已经想到了这点,加入了防止sql注入的机制。就像一楼说尽量不要使用拼接字符串的方式,要使用参数的方式。

Ou lei | 园豆:619 (小虾三级) | 2010-01-22 16:54
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册