这不是sql注入
例如,假设用户在网络表单中填写我的表单应用程序,在表单的一个字段中用户写入(从用户中选择 *)或编写危险的 sql 脚本并发送数据和我的数据库中设置的所有内容,因此我在表中的记录,例如
编号 | 标题 | 描述 -------------------- 1 | 第一 | 从用户中选择 *
如何保护它?或者通常这是危险的?tnx
问问题
145 次
1 回答
5
这不是sql注入
这是SQL 注入
如何保护它?或者通常这是危险的?
因为你已经标记了 asp.net,所以总是使用参数化查询。
请参阅:将参数化查询与 SqlDataSource (C#)和
C#中的参数化 SQL 查询一起使用
编辑: 由于评论中提到了关于实体使用的 OP。应考虑以下几点:
LINQ to Entities 注入攻击:
尽管查询组合在 LINQ to Entities 中是可能的,但它是通过对象模型 API 执行的。与 Entity SQL 查询不同,LINQ to Entities 查询不是通过使用字符串操作或串联组成的,它们不易受到传统 SQL 注入攻击的影响。
于 2013-01-02T10:39:07.640 回答