我已经在我的经典ASP应用程序中参数化了我的查询,但我不确定是否需要清理或清理自由文本字段,或者参数化是否足以防止注入。
答案 0 :(得分:6)
如果使用参数化查询,则可以安全地防止SQL注入攻击。
但不适用于XSS attacks;一些用户可以将HTML内容(考虑<script>,<object>标签)插入到您的数据库中,并且在某个页面上,另一个用户可以执行该潜在的恶意代码。
答案 1 :(得分:2)
并非所有sql存储过程都是注入安全的
http://palisade.plynt.com/issues/2006Jun/injection-stored-procedures/