首页 新闻 赞助 找找看

在分页的时候有时会在存储过程中凭借sql,在调用sp_executesql执行,...这里防数据库注入

0
[已解决问题] 解决于 2015-11-16 21:47

简单说就是如果执行的sql是在存储过程中拼接的,而且需要传入的参数作为拼接的sql的一部分,这时为防止数据库注入,一般怎么做。

例如:

在分页的时候有时会在存储过程中凭借sql,在调用sp_executesql执行,需要的参数比如where条件,order什么的都是存储过程的参数传递进入然后拼接到sql字符串的,那么怎么防止传入非法的字符而导致的数据库注入?

北在北方的主页 北在北方 | 初学一级 | 园豆:182
提问于:2015-11-16 10:24
< >
分享
最佳答案
0

1.数据库的安全性肯定要在数据访问层或者说数据访问工具实现

2.将字符串中的非法字符替换了。比如单引号换成2个单引号。不过这个要看你要的数据库的具体语法

奖励园豆:5
吴瑞祥 | 高人七级 |园豆:29449 | 2015-11-16 10:39
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册