1

这不是sql注入

例如,假设用户在网络表单中填写我的表单应用程序,在表单的一个字段中用户写入(从用户中选择 *)或编写危险的 sql 脚本并发送数据和我的数据库中设置的所有内容,因此我在表中的记录,例如

编号 | 标题 | 描述
--------------------
1 | 第一 | 从用户中选择 *

如何保护它?或者通常这是危险的?tnx

4

1 回答 1

5

这不是sql注入

这是SQL 注入

如何保护它?或者通常这是危险的?

因为你已经标记了 asp.net,所以总是使用参数化查询。
请参阅:将参数化查询与 SqlDataSource (C#)和 C#中的参数化 SQL 查询一起使用

编辑: 由于评论中提到了关于实体使用的 OP。应考虑以下几点:

防止 SQL 注入攻击。- 实体框架 - MSDN

LINQ to Entities 注入攻击:

尽管查询组合在 LINQ to Entities 中是可能的,但它是通过对象模型 API 执行的。与 Entity SQL 查询不同,LINQ to Entities 查询不是通过使用字符串操作或串联组成的,它们不易受到传统 SQL 注入攻击的影响。

于 2013-01-02T10:39:07.640 回答