请问关于sql注入式攻击的问题 请问,是否所有执行数据库操作的全部用存储过程就不会出现sql注入式攻击的问题了? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 存储过程和sql注入应该是2个领域(范围)的问题。据我了解,net中避免注入的办法是使用SqlParameter参数传入,内部有专门避免注入的机制例如:string sql = "UPDATE 用户表 SET 用户权限 = @permission WHERE 用户名=@user SqlParameter parameter = new SqlParameter("@permission",SqlDbType.Binary,buffer.Length);parameter.Value = buffer; //将字节数组作为参数传入SQL语句执行da.ExecuteNonQuery(sql,parameter,user); 1.没错,所有执行数据库操作的全部用存储过程就不会出现sql注入式攻击的问题2.不用存储过程使用sql参数也可以解决sql注入式攻击的问题 你首先应该了解注入的原理,其实就是构造特别的参数,使执行的时候按另一个意思执行了.然后有一点你要知道,存储过程在接收到参数的时候,不管你参数中用了什么符号,它都会把参数做为一个整体,就像一个变量的值,而不会把这个参数和前面的sql语句连起来形成另一个意思的SQL语句.所以存储过程可以解决你说的注入的问题.但它不是唯一的方法. 哈,真的不知道这一点,kgdiwss,明天去要饭的话叫上我啊 顶再家100分http://community.csdn.net/Expert/topic/4875/4875937.xml?temp=.993725 项目使用发布网站后,oledb不能再调试了? 郁闷中...asp.net关于编码问题 有哪些Jquery插件可以做模态弹出输入框?? Session过期问题 2009.10.21 号在今年是第294天,我现在想通过294推算出2009.10.21 怎么做? 网页重定向问题 js 获取下一节点问题!! 限制一种类型的用户,只能有一个用户登录,如何实现? 客户端和服务器端之间传递数据可以传递数组吗?(急) 要RichTextBox控件就来取! 编号难题! 想了好久都没想出来,大家帮我看下,从数据库取出数据的问题。
据我了解,net中避免注入的办法是使用SqlParameter参数传入,内部有专门避免注入的机制
例如:string sql = "UPDATE 用户表 SET 用户权限 = @permission WHERE 用户名=@user SqlParameter parameter = new SqlParameter("@permission",SqlDbType.Binary,buffer.Length);
parameter.Value = buffer; //将字节数组作为参数传入SQL语句执行
da.ExecuteNonQuery(sql,parameter,user);
2.不用存储过程使用sql参数也可以解决sql注入式攻击的问题
然后有一点你要知道,存储过程在接收到参数的时候,不管你参数中用了什么符号,它都会把参数做为一个整体,就像一个变量的值,而不会把这个参数和前面的sql语句连起来形成另一个意思的SQL语句.所以存储过程可以解决你说的注入的问题.但它不是唯一的方法.