代码之家  ›  专栏  ›  技术社区  ›  Justin Helgerson

这个存储过程对SQL注入安全吗?

sql-injection stored-procedures sql-server
  •  4
  • Justin Helgerson  · 技术社区  · 15 年前

    存储过程如下: 

    CREATE PROCEDURE Foo
    @bar varchar(100)
AS

SELECT * FROM tablename
WHERE columnname LIKE '%' + @bar + '%'

    2 回复  |  直到 15 年前
        1
  •  7
  •   Abe Miessler    15 年前

    如果您使用的是C,并且您的代码如下所示: 

    SqlCommand command = new SqlCommand("Foo", connection);
command.CommandType = CommandType.StoredProcedure;
command.Parameters.AddWithValue("@bar", myTextBox.Text);

    如果是这样的: 

    SqlCommand command = new SqlCommand("EXEC Foo '" + myTextBox.Text + "'", connection);

    那就不要了!

        2
  •  4
  •   Zachary    15 年前

    就像“%” 将默认返回数据库中的所有内容。

    推荐文章
    John D  ·  需要为NULL或NOT NULL的WHERE子句
    1 年前
    WJTownsend  ·  在动态SQL SELECT语句中提供字符串变量,而不将其作为列名读取?
    1 年前
    RaviLobo  ·  如何使用代码查找SQL Server ODBC驱动程序版本?
    1 年前
    Nebula Tech  ·  在SQL Server中搜索字符串中单词的多次出现
    1 年前
    Justin  ·  根据状态排除行
    1 年前
    Merlin Nestler  ·  为什么索引中的列顺序在这种情况下会产生如此大的影响?
    1 年前
    Marc Guillot  ·  记录值时忽略冲突
    1 年前
    Fachry Dzaky  ·  正确使用ROW_NUMBER
    1 年前
    GH DevOps  ·  多对多关系中同类型的SQL Server关系表设计
    1 年前
    TriumphTruth  ·  从满足特定条件的数据集中选择1行
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号