关于防止sql注入的几种手段(一)

发布网友发布时间：2022-04-07 06:13

共1个回答

热心网友时间：2022-04-07 07:43

其实特别不愿意说sql注入的问题，因为这的确是个老掉牙的问题了，但是仍然还有不少人在这方面自以为安全性做得很到位，或者说万事只要存储过程就可以防止注入，即全都参数化，这样对于某些复杂逻辑来说，sql存储过程写法太过于冗长，不如在C#拼凑sql，也有很多人鄙视拼凑sql的人，我觉得，看待sql注入这个问题，应该是从本质上来杜绝注入，而不是想当然的依靠存储过程，拒绝拼凑sql。我说一下我自己的经验吧一存储过程参数化能解决绝大部分的注入问题。存储过程之所以能够解决绝大部分的注入问题，是因为mssql的机制，它认为你的是参数就是参数不能够解析为可执行的sql。但是这仅仅能解决绝大部分问题二当需要在proc里面动态拼凑sql，使用类似exec，sp_executesql的时候，一定要使用后者，虽然两者都是传递一个字符串，这个字符串作为sql语句执行，但是后者提供为sql语句提供参数的功能，使得被执行的sql语句参数化，而防止注入，前者如果使用传入的参数来拼凑sql，则参数就会间接转换成sql语句而导致注入。本想接着写，临时有点事，晚上发第二篇