比如 一个搜索的功能,输入关键字,查询数据库中的名称字段Name,
假如string sql = String.Format("select * from Tb_A where Name = '{0}',txtName.Text);
这样的话 有注入漏洞的.
但是如果语句是在存储过程里面,也就是说 txtName.Text被当做参数传进 了查询存储过程,没有使用SqlParameter,这样的话还会有注入漏洞吗?
假如string sql = String.Format("select * from Tb_A where Name = '{0}',txtName.Text);
这样的话 有注入漏洞的.
但是如果语句是在存储过程里面,也就是说 txtName.Text被当做参数传进 了查询存储过程,没有使用SqlParameter,这样的话还会有注入漏洞吗?
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货