111,125
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
lvtouyayayaya 2009-07-16
- 打赏
- 举报
我也很想很想知道啊
pass2005 2009-05-19
- 打赏
- 举报
有人能举出具体案例不?
周公 2009-04-28
- 打赏
- 举报
declare @str
....
exec(@str)这种方式是不能防止SQL注入的,在其它情况下是可以的。
如:
insert into table(name,password)values(@name,@password)周公 2009-04-28
- 打赏
- 举报
[Quote=引用 6 楼 che2piaopiao 的回复:]
连注入都防不了,,微软干吗要出 orm...
[/Quote]
给你家安装世界上最保险的锁,你把钥匙放在锁旁边挂着,是不是要怪锁厂出的锁不安全呢?
连注入都防不了,,微软干吗要出 orm...
[/Quote]
给你家安装世界上最保险的锁,你把钥匙放在锁旁边挂着,是不是要怪锁厂出的锁不安全呢?
Xorcerer 2009-04-28
- 打赏
- 举报
我用Parameter方式填入参数之后,
空格,单引号什么的都可以作为普通字符放进数据库了,比如一个“!ha I'm a nickname.”这样的用户名(很无聊吧)。
所以对于楼主的标题,我给的答案是:是的,可以。
空格,单引号什么的都可以作为普通字符放进数据库了,比如一个“!ha I'm a nickname.”这样的用户名(很无聊吧)。
所以对于楼主的标题,我给的答案是:是的,可以。
che2piaopiao 2009-04-28
- 打赏
- 举报
连注入都防不了,,微软干吗要出 orm...
烈火蜓蜻 2009-04-28
- 打赏
- 举报
你在存储过程里,把参数用来拼语句就会了被注入了
zzxap 2009-04-28
- 打赏
- 举报
參數化還要過濾單引號
ViewStates 2009-04-28
- 打赏
- 举报
当你的SQL语句或者存储过程中使用了动态SQL的时候,参数化还是不能避免注入。
zucc_sjj 2009-04-28
- 打赏
- 举报
[Quote=引用 1 楼 HDNGO 的回复:]
写错了的时候~
[/Quote]
强!!!
写错了的时候~
[/Quote]
强!!!
HDNGO 2009-04-28
- 打赏
- 举报
写错了的时候~
