除了参数化查询之外,有没有一种方法(特别是使用 ASP.net 工具)来避免 sql 注入?
问问题
145 次
2 回答
0
最简单的方法之一就是我所说的消毒。就Replace( vsInputString, "'", "''")在构造 SQL 语句时:
Dim vsSQLStatement = "SELECT * FROM table01 WHERE myField = '" & Replace(vsFormTextInput, "'", "''" ) & "';"
也将有助于阻止 SQL 注入。
于 2013-02-04T02:46:06.063 回答
0
是的当然。除了参数化查询,您还应该考虑这些:
- 使用存储过程
- 使用受限访问帐户连接到数据库(不是管理员级别)
- 加密 ConnectionString 和其他敏感数据
- 设置 debug=false(在 customError 中)以最小化发生错误时的信息
我希望它对你有帮助。
于 2013-02-04T15:12:33.693 回答