不是我听不进去,而是领导愿不愿意 而且从业务来说,数据中的确没有包含单引号,也就是系统不需要进行这个用例的必要 历史原因,大量这样的代码,如果没有安全问题,很难付出这种人力成本去改 我主要想学习,这种写法是否有危险
[quote=引用 8 楼 tcmakebest 的回复:] 防止注入,用个参数用行了,何须讨论半天? 但还是回答一下吧,只要把单引号成双就可以了,这样单引号仍然可以被搜索。
防止注入,用个参数用行了,何须讨论半天? 但还是回答一下吧,只要把单引号成双就可以了,这样单引号仍然可以被搜索。
sql = "select Id,title from Texts where Title like '%'+@Keyword+'%'";
用16进制的代码粘贴到输入框,轻而易举破解过滤法。 过滤毫无用处,是最容易被破解的了。。
没意义,终究还是一个字符串拼接
[quote=引用 10 楼 ask101a 的回复:] [quote=引用 8 楼 tcmakebest 的回复:] 防止注入,用个参数用行了,何须讨论半天? 但还是回答一下吧,只要把单引号成双就可以了,这样单引号仍然可以被搜索。
62,046
社区成员
669,049
社区内容
加载中
.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。
希望和大家一起共同营造一个活跃、友好的社区氛围。
试试用AI创作助手写篇文章吧