參數(shù)真的足以阻止Sql注入嗎？我一直在向我的同事們講道，在這里談?wù)撛赟QL查詢中使用參數(shù)的好處，特別是在.NET應(yīng)用程序中。我甚至承諾給予他們免受SQL注入攻擊的抵抗力。但我開(kāi)始懷疑這是否真的如此。是否有任何已知的SQL注入攻擊可以成功對(duì)抗參數(shù)化查詢？例如，您可以發(fā)送一個(gè)導(dǎo)致服務(wù)器緩沖區(qū)溢出的字符串嗎？當(dāng)然還有其他考慮因素可以確保Web應(yīng)用程序是安全的（比如清理用戶輸入和所有內(nèi)容），但現(xiàn)在我正在考慮SQL注入。我對(duì)MsSQL 2005和2008的攻擊特別感興趣，因?yàn)樗鼈兪俏业闹饕獢?shù)據(jù)庫(kù)，但所有數(shù)據(jù)庫(kù)都很有趣。編輯：澄清參數(shù)和參數(shù)化查詢的含義。通過(guò)使用參數(shù)我的意思是使用“變量”而不是在字符串中構(gòu)建SQL查詢。所以不要這樣做：SELECT * FROM Table WHERE Name = 'a name'我們這樣做：SELECT * FROM Table WHERE Name = @Name然后在查詢/命令對(duì)象上設(shè)置@Name參數(shù)的值。