首页 新闻 会员 周边 捐助

asp.net 如果程序中全部参数化,并且不存在SQL拼接,是否会彻底防止sql注入?

0
[已关闭问题]

如果程序中全部参数化,并且不存在SQL拼接,是否会彻底防止sql注入?

princeback的主页 princeback | 初学一级 | 园豆:35
提问于:2010-07-22 17:37
< >
分享
其他回答(5)
0

不会,你必须仔细检查你的查询语句,以确定是否在最后形成的SQL语句中可以注入.

Launcher | 园豆:45050 (高人七级) | 2010-07-22 17:43
0

对所有查询有关的地方,用户可以手动输入的地方,过滤常见SQL注入字符。

Astar | 园豆:40805 (高人七级) | 2010-07-22 18:04
0

所有用代码实现的东西,都没有彻底或绝对一说,你所说参数化只能在很大程度上防止注入,要防的话也得知己知彼,你也要懂得怎么注入,这方面很多黑客的书里面都有,或者看黑鹰基地的一些教程。

dege301 | 园豆:2825 (老鸟四级) | 2010-07-23 08:44
0

要过滤字符串,还要过滤输入的参数,防止参数本身就是个注入

Virus-BeautyCode | 园豆:1619 (小虾三级) | 2010-07-23 08:46
0

全部参数化是可以减少SQL注入,但是并不完全能防止,写一个类专门检测SQL中的关键字,一但是该关键字的话,就视为不安全的参数即可。

平凡网客 | 园豆:9 (初学一级) | 2010-07-24 00:32
0

不会彻底的!建议你看一下这篇文章

http://www.cnblogs.com/perfectdesign/archive/2009/11/25/sqlinjection3.html

哲 思 | 园豆:280 (菜鸟二级) | 2011-03-14 14:28
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册