社区
疑难问题
帖子详情
不使用参数化查询就无法避免SQL注入吗?
无聊的梦
2016-02-15 05:45:06
不使用参数化查询,通过 过滤关键词、转义是否能达到一样的效果?
经理说参数化查询能做到的东西 直接拼接处理sql查询一样能做到,感觉不太可信,望大神不吝赐教!
...全文
308
10
打赏
收藏
不使用参数化查询就无法避免SQL注入吗?
不使用参数化查询,通过 过滤关键词、转义是否能达到一样的效果? 经理说参数化查询能做到的东西 直接拼接处理sql查询一样能做到,感觉不太可信,望大神不吝赐教!
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
10 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
xiaoxiangqing
2016-02-18
打赏
举报
回复
可以,只是比较麻烦
tcmakebest
2016-02-18
打赏
举报
回复
这个问题跟如下问题一样没有多少意义,纯粹是卖弄技巧而已: 晚上睡觉不锁门一定会遭遇到小偷吗
shoppo0505
2016-02-17
打赏
举报
回复
任何方式,只要会执行拼接的sql,就有SQL注入危险,和是否参数化无关.
吉普赛的歌
2016-02-17
打赏
举报
回复
问他拼接SQL不用参数如何避免SQL注入
吉普赛的歌
2016-02-17
打赏
举报
回复
拼接SQL, 同样可以用参数, 然后再用 EXEC sp_executesql 如果不用参数, 只拼接SQL, 当然是危险的, 你直接去问你经理, 要他莫装B!
Ginnnnnnnn
2016-02-16
打赏
举报
回复
在程序里面直接拼接查询语句是最危险的,除非你能穷举出所有情况。 使用参数化封装在存储过程里面相对安全,除非你在存储过程里面直接用那个参数又拼接语句那我也没话说。 使用参数化,已经可以有效阻隔大部分的注入
Vict0r Chen
2016-02-16
打赏
举报
回复
引用 3 楼 wmxcn2000 的回复:
动态拼接SQL,一定要对拼接来的数据进行处理,SQL 注入的风险很高;
有相关博文吗?
卖水果的net
2016-02-16
打赏
举报
回复
动态拼接SQL,一定要对拼接来的数据进行处理,SQL 注入的风险很高;
无聊的梦
2016-02-15
打赏
举报
回复
引用 1 楼 shoppo0505的回复:
dou无法避免SQL注入
那使用参数化查询的情况下如何进行sql注入?
shoppo0505
2016-02-15
打赏
举报
回复
dou无法避免SQL注入
C#
参数化
查询
,
避免
SQL注入
一个可以
避免
SQL注入
的方法,大家可以通过这个方法解决一些在与数据库打交道时的安全问题
SQL注入
攻击与防御(安全技术经典译丛)
另外,本书还专门从代码层和系统层的角度介绍了
避免
SQL注入
的各种策略和需要考虑的问题。 本书主要内容
SQL注入
一直长期存在,但最近有所增强。本书包含所有与
SQL注入
攻击相关的、当前已知的信息,凝聚了由本书...
php
参数化
注入,
参数化
查询
为什么可以
避免
sql注入
呢?
但是如何
避免
sql注入
呢,归结为一句话,就是
使用
参数化
查询
,而不要
使用
字符串拼接————可是不管是
参数化
查询
(即PreparedStatement的占位符),还是拼接字符串,最终不都是要执行一个一模一样的sql...
为什么
参数化
查询
可以防止
SQL注入
?(转)
结果闷逼了,之前只知道
参数化
查询
是可以防止
SQL注入
,但是没有深究其原理,今天就找一些文章,学习一下,也分享给大家。 以下引用知乎大神们的回答: 原理是采用了预编译的方法,先将SQL语句中可被客户端控制的...
防御
sql注入
之
参数化
查询
概念:在sql语句中需要...现状:不过即使
参数化
查询
被证明可以十分有效的抵御
sql注入
攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不
使用
参数化
查询
需要熟悉各数据库中的变量形式: 假设变量为a1
疑难问题
22,209
社区成员
121,730
社区内容
发帖
与我相关
我的任务
疑难问题
MS-SQL Server 疑难问题
复制链接
扫一扫
分享
社区描述
MS-SQL Server 疑难问题
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章