我有一个数据驱动的网站,用户可以在一个页面上输入一些进入数据库的字符串。我正在使用LINQ进行所有插入和更新,所以我认为这部分是安全的。然后,输入的数据将显示给另一页面上的用户。
当输出数据时,我还没有使用LINQ(不确定我是否需要),而且我有一些" SELECT"陈述,类似于:
SELECT Name, Description FROM Table WHERE ID=something
我的问题是:如果"姓名"或"描述"上述语句中的数据包含恶意代码,在该上下文中是否可以进行SQL注入?
所有带有" WHERE"的SELECT语句条款肯定只是比较数字,所以我认为这部分是安全的。欢呼声。
答案 0 :(得分:0)
只要您不从用户输入创建SQL语句,就没问题。
例如,如果您执行了以下操作:
var sqlStatement = "SELECT " + Name + "FROM Table WHERE ID=something";
并且使用它,肯定会引入SQL注入攻击的机会。