首頁猿問 SQL參數(shù)如何防止SQL注入？

SQL參數(shù)如何防止SQL注入？

.NET

皈依舞 2019-07-03 17:06:28

SQL參數(shù)如何防止SQL注入？到底是怎么回事在幕后使它如此SQL參數(shù)防止.NET參數(shù)化查詢中的SQL感染攻擊？它只是剔除了任何可疑人物，還是有更多的東西？有沒有人檢查過當(dāng)您傳遞惡意輸入時(shí)，SQL Server實(shí)際得到了什么？有關(guān)：您能在SQLFROM語句中使用SQLParameters嗎？

查看完整描述

3 回答

精慕HU

TA貢獻(xiàn)1845條經(jīng)驗(yàn) 獲得超8個(gè)贊

當(dāng)使用參數(shù)化查詢時(shí)，攻擊面將簡化為對參數(shù)進(jìn)行修改。

請使用SqlParameters，但不要忘記溢出、下溢和未經(jīng)驗(yàn)證的參數(shù)。例如，如果方法是“proc”buy_book (@price money)時(shí)，惡意攻擊者會試圖欺騙應(yīng)用程序使用@price設(shè)為0.01，或者試圖通過提交導(dǎo)致溢出的內(nèi)容來讓應(yīng)用程序執(zhí)行一些有趣的事情。SQL溢出通常并不有趣(也就是說，它們只會導(dǎo)致異常，您不太可能將其寫入到相鄰的內(nèi)存中)。