这不是sql注入
例如想象用户在Web表单中填写我的表单应用程序,在表单用户写入的一个字段中(从用户中选择*)或写入危险的sql脚本并发送数据和我在数据库中设置的所有内容,以便我的记录在表中,例如
id | title | desc -------------------- 1 | first | select * from users
如何保护它?或者一般来说这是危险的? TNX
答案 0 :(得分:5)
这不是sql注入
如何保护它?或者一般来说这很危险?
因为你有标记的asp.net总是使用参数化查询 请参阅:Using Parameterized Queries with the SqlDataSource (C#)和 Parameterized SQL Queries in C#
修改 由于OP在评论中提到了Entity的用法。应考虑以下几点:
Prevent SQL injection attacks. - Entity Framework - MSDN
LINQ to Entities注入攻击:
虽然在LINQ to Entities中可以进行查询组合,但确实如此 通过对象模型API执行。与Entity SQL查询不同, LINQ to Entities查询不是使用字符串操作组成的 或者连接,它们不受传统SQL的影响 注射攻击。