22,209
社区成员
发帖
与我相关
我的任务
分享不使用参数化查询就无法避免SQL注入吗?
不使用参数化查询,通过 过滤关键词、转义是否能达到一样的效果?
经理说参数化查询能做到的东西 直接拼接处理sql查询一样能做到,感觉不太可信,望大神不吝赐教!
经理说参数化查询能做到的东西 直接拼接处理sql查询一样能做到,感觉不太可信,望大神不吝赐教!
...全文
请发表友善的回复…
发表回复
xiaoxiangqing 2016-02-18
- 打赏
- 举报
可以,只是比较麻烦
tcmakebest 2016-02-18
- 打赏
- 举报
这个问题跟如下问题一样没有多少意义,纯粹是卖弄技巧而已:
晚上睡觉不锁门一定会遭遇到小偷吗
shoppo0505 2016-02-17
- 打赏
- 举报
任何方式,只要会执行拼接的sql,就有SQL注入危险,和是否参数化无关.
吉普赛的歌 2016-02-17
- 打赏
- 举报
问他拼接SQL不用参数如何避免SQL注入
吉普赛的歌 2016-02-17
- 打赏
- 举报
拼接SQL, 同样可以用参数, 然后再用 EXEC sp_executesql
如果不用参数, 只拼接SQL, 当然是危险的, 你直接去问你经理, 要他莫装B!
Ginnnnnnnn 2016-02-16
- 打赏
- 举报
在程序里面直接拼接查询语句是最危险的,除非你能穷举出所有情况。
使用参数化封装在存储过程里面相对安全,除非你在存储过程里面直接用那个参数又拼接语句那我也没话说。
使用参数化,已经可以有效阻隔大部分的注入
Vict0r Chen 2016-02-16
- 打赏
- 举报
有相关博文吗?
卖水果的net 2016-02-16
- 打赏
- 举报
动态拼接SQL,一定要对拼接来的数据进行处理,SQL 注入的风险很高;
无聊的梦 2016-02-15
- 打赏
- 举报
那使用参数化查询的情况下如何进行sql注入?
shoppo0505 2016-02-15
- 打赏
- 举报
dou无法避免SQL注入
