如果我在存储过程中有一个where子句,它连接来自前端的搜索字符串(用户提供的)......就像这样:
FirstName like '%'+@SearchString+'%'
这可以注入恶意代码吗?
答案 0 :(得分:2)
没有
只要您按照所示使用它,任何人都可以做的最糟糕的事情是在like语法中输入重要字符,例如%或[0-9]。
如果将它连接成一个后来执行的字符串但它只是被视为下面的数据,这将是一个SQL注入风险
Select *
FROM SomeTable
WHERE FirstName like '%'+@SearchString+'%'