即使是自己写ORM，也要通过DbParameter才能避免sql注入漏洞对不？

[已解决问题] 解决于 2010-05-20 10:35

通过自己写的ORM，在生成sql语句的时候，如果仍然使用字符串拼接的方式，sql注入漏洞还是会存在的对不？

必须要通过DbParameter来传递参数才能避免吗？

.NET技术 ORM

往边界 | 初学一级 | 园豆：6
提问于：2010-05-18 12:49

< >

最佳答案

是的..

也就是拼接成参数化查询的sql 语句...

自然就需要DbParameter 来传递参数..

Rukai | 初学一级 |园豆：170 | 2010-05-18 12:54

其他回答(2)

只要是有拼接SQL查询语句的地方，都有可能导致...

Astar | 园豆：40805 (高人七级) | 2010-05-18 13:55

参考：

http://www.cnblogs.com/huxj/archive/2010/01/25/1655918.html

steven hu | 园豆：542 (小虾三级) | 2010-05-18 15:54

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。