c# 传参的方式能完全防止sql注入吗
4个回答
展开全部
参数化sql语句完全能够防止sql注入,我说得是完全。不必再过滤什么了。
参数化sql是直接生成sql数据库查询底层的参数,而不是通过编译器和解释器根据sql语句自动分词,确定参数的值(这样容易被骗)。
比如:select 姓名 from 基本信息 where 学号='18',客户构造sql语句:select 学号 from 基本信息 where 学号='' or '1'='1',sql数据库系统编译解释为:
1.这是一条select语句;
2。操作的表为“基本信息”;
3。返回字段为“姓名”;
4。条件为学号='' or '1'='1'
5。学号的参数为''。
这样就被骗了。
而采用参数化方法,select 学号 from 基本信息 where 学号=@studentID,参数@studentID=' or '1'='
最后编译解释为select 学号 from 基本信息 where 学号="' or '1'='"
相当于在参数@studentID的值的外面加上了一个看不见的"",所以无论对方构造的如何巧妙,都无法注入。
参数化sql是直接生成sql数据库查询底层的参数,而不是通过编译器和解释器根据sql语句自动分词,确定参数的值(这样容易被骗)。
比如:select 姓名 from 基本信息 where 学号='18',客户构造sql语句:select 学号 from 基本信息 where 学号='' or '1'='1',sql数据库系统编译解释为:
1.这是一条select语句;
2。操作的表为“基本信息”;
3。返回字段为“姓名”;
4。条件为学号='' or '1'='1'
5。学号的参数为''。
这样就被骗了。
而采用参数化方法,select 学号 from 基本信息 where 学号=@studentID,参数@studentID=' or '1'='
最后编译解释为select 学号 from 基本信息 where 学号="' or '1'='"
相当于在参数@studentID的值的外面加上了一个看不见的"",所以无论对方构造的如何巧妙,都无法注入。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
结论:如果不能够重用执行计划,那么就有SQL注入的风险,因为SQL的语意有可能会变化,所表达的查询就可能变化。
首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,通过参数化查询解决sql注入漏洞的实例。
所谓的参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成.
SQL 引擎的处理流程,大致为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
参数化查询主要做了这些事情:
1:参数过滤,对传入值进行了处理,按字符语义来处理。
2:执行计划重用
为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。
首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,通过参数化查询解决sql注入漏洞的实例。
所谓的参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成.
SQL 引擎的处理流程,大致为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
参数化查询主要做了这些事情:
1:参数过滤,对传入值进行了处理,按字符语义来处理。
2:执行计划重用
为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
可以完全防止
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
应该是可以的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
