首页 新闻 搜索 专区 学院

即使是自己写ORM,也要通过DbParameter才能避免sql注入漏洞对不?

0
[已解决问题] 解决于 2010-05-20 10:35

通过自己写的ORM,在生成sql语句的时候,如果仍然使用字符串拼接的方式,sql注入漏洞还是会存在的对不?

必须要通过DbParameter来传递参数才能避免吗?

往边界的主页 往边界 | 初学一级 | 园豆:6
提问于:2010-05-18 12:49
< >
分享
最佳答案
0

是的..

也就是拼接成参数化查询的sql 语句...

 

自然就需要DbParameter 来传递参数..

Rukai | 初学一级 |园豆:170 | 2010-05-18 12:54
其他回答(2)
0

只要是有拼接SQL查询语句的地方,都有可能导致...

Astar | 园豆:40805 (高人七级) | 2010-05-18 13:55
0

参考:

http://www.cnblogs.com/huxj/archive/2010/01/25/1655918.html

steven hu | 园豆:542 (小虾三级) | 2010-05-18 15:54
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册