SQL语句注入

Gomes 2012-05-14 05:15:17

如果我的网站是使用linq是否还要防止SQL注入呢，linq语句是否也要防范？

...全文

170 4 打赏收藏转发到动态举报

写回复

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

xinglang2009 2012-05-16

打赏
举报

回复

2楼的意思是，你的存储过程中使用了拼接查询语句的方法，然后传入的是nvarchar之类的参数。。。
存储过程能过滤SQL注入是因为使用了参数传值，但。。。。

Gomes 2012-05-14

打赏
举报

回复

存储过程不就是为了防止SQL注入的？

q107770540 2012-05-14

打赏
举报

回复

正常情况下是不需要了，不过也有句话叫：小心驶得万年船

threenewbee 2012-05-14

打赏
举报

回复

如果你的程序使用了触发器、内置函数、存储过程，混合sql等情况，还是需要防范sql注入的。

WED.EXE 小榕（榕哥）出的sql注入工具使用该工具可以在短短2秒钟就猜出管理员的帐号和密码! 里面附带的wis.exe 也是小榕写的一个扫描后台管理员登陆路径的工具!

一、什么事SQL语句的注入？1. 也就是利用了SQL语句的原理，进行拼接。如：sql ="SELECT * FROM user WHERE id='《a' or 'a'='a》 ' AND password='《a' or 'a'='a》'"; 2. 括号里面的就是注入的内容这样也可以获取到我们数据库里面的东西二、如何能够防止SQL语句的注入？1. 不使用CreateStatement()方法

利用SQL注入漏洞登录后台的实现方法作者：字体：[增加减小] 类型：转载时间：2012-01-12我要评论工作需要，得好好补习下关于WEB安全方面的相关知识，故撰此文，权当总结，别无它意。读这篇文章，我假设读者有过写SQL语句的经历，或者能看得懂SQL语句 早在02年，国外关于SQL注入漏洞的技术文章已经很多，而国内在05年左右才开始的。　　如今，谈SQ...

sql语句注入漏洞及预防 1，一般书写sql查询语句的时候可以这么写： Select count(1) from user where username=’zs’ andpwd=’123’ 比如说我要进行登录操作：正常情况输入：zs 123就可以登录，但是当我在用户名中输入：‘or 1=1# 的时候，密码输什么都可以，因为此时的sql语句就成为下面这样： Select c

1、传参时有可能出现SQL语句注入 StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.append("and t.area_code = '").append(areaCode).append("' "); } SQLQuery query = getSession().crea

8,494

社区成员

4,736

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章