Foxtable(狐表)用户栏目专家坐堂 → [求助]SQLLoad的SQLCommand参数化问题


  共有1794人关注过本帖树形打印复制链接

主题:[求助]SQLLoad的SQLCommand参数化问题
帅哥哟,离线,有人找我吗?
larjia
   1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00 		[求助]SQLLoad的SQLCommand参数化问题  发帖心情 Post By:2018/12/8 22:04:00 [只看该作者]

SQLLoad的参数可以是SQLCommand吗?目的是为了能使用参数化SQLCommand,仅字符串的sql参数会不会不安全?

[此贴子已经被作者于2018/12/8 22:10:46编辑过]
 回到顶部
帅哥哟,离线,有人找我吗?
larjia
   2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00 		  发帖心情 Post By:2018/12/9 12:46:00 [只看该作者]

求助,这个问题怎么解决好?

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
   3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00 		  发帖心情 Post By:2018/12/9 15:47:00 [只看该作者]

以下是引用larjia在2018/12/8 22:04:00的发言:
SQLLoad的参数可以是SQLCommand吗?目的是为了能使用参数化SQLCommand,仅字符串的sql参数会不会不安全?

[此贴子已经被作者于2018/12/8 22:10:46编辑过]

 

sqlLoad只能用sql语句,不存在不安全的情况。得看你怎么用了。具体一点你的问题。

 
 回到顶部
帅哥哟,离线,有人找我吗?
larjia
   4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00 		  发帖心情 Post By:2018/12/9 21:45:00 [只看该作者]

我使用的是拼接SQL的方法,比如下面的查询界面。各个字段拼接成一个Where语句,然后使用SQLLoad。

 

我的问题是使用这种方式,如果假设用户在字段中写入包含SQL语句,比如类似Delete之类的,会不会造成SQL注入不安全?或者怎样做比较安全一些?

 


图片点击可在新窗口打开查看此主题相关图片如下:search.png
图片点击可在新窗口打开查看
 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
   5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00 		  发帖心情 Post By:2018/12/9 22:22:00 [只看该作者]

防止sql注入即可。

 

检测是否存在关键字(sqlserver关键字以及特殊字符等),如果存在,提示错误,不执行。

 
 回到顶部
帅哥哟,离线,有人找我吗?
larjia
   6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00 		  发帖心情 Post By:2018/12/10 0:07:00 [只看该作者]

谢谢!这么晚还给回复,赞!

 回到顶部
RSS2.0 | Xhtml无图版 | Xslt无图版 Copyright © 2000 - 2018 foxtable.com Tel: 4000-810-820 粤ICP备11091905号
   Powered By Dvbbs Version 8.3.0
页面执行时间 0.03906 秒, 4 次数据查询