存储过程和带参的SQL语句为什么能防SQL注入
展开全部
存储过程和带参数的SQL语句将传进的值当成一个字符串处理,就屏蔽掉了诸如or 1 = 1的SQL诸如问题,执行过程将传入的参数当成整体完整的处理,而不是直接添加到SQL语句末尾,是恒等的条件不成立了
如传入参数@sql = ‘..... or 1 = 1’
内部处理过程是
select
from
where 字段 = sql
而不是直接使用语句的
select
from
where 字段 = ....or 1 = 1
就避免了SQL注入。
如传入参数@sql = ‘..... or 1 = 1’
内部处理过程是
select
from
where 字段 = sql
而不是直接使用语句的
select
from
where 字段 = ....or 1 = 1
就避免了SQL注入。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
恩,因为可以在存储过程里对参数进行判断检查是否合法,这样就能跳开那些"特殊值"而使查询条件为"真"的情形.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
