c# - 使用存储过程是否会阻止SQL注入/ XSXX攻击？

使用存储过程是否会阻止SQL注入/ XSXX攻击？

时间：2016-06-15 00:33:35

标签： c# sql asp.net sql-injection

我在ASP.NET MVC C＃上开发SaaS应用程序，如果使用存储过程/函数可以防止SQL注入和xsxx攻击，我很好奇吗？我想对用户输入的数据进行某种消毒，但我不知道他们最好的方法是什么。

如果我需要进行一些数据清理，那么最好的方法是什么？

2 个答案:

答案 0 :(得分：0)

否

您应该使用SqlCommand并将适当的参数添加到适当的连接来使用参数化查询。这将阻止SQL注入。您无法保证所有途径都受到保护，例如，如果您使用的是用户字符串中的sp_executesql。

SQL注入和XSS攻击是不同的问题。

答案 1 :(得分：0)

取决于

SQL注入：避免将存储过程中的动态SQL视为易受攻击，并且可以使用SQL注入攻击进行滥用，如果不可避免地使用sp_executesql（如Daniel和＃中所述） 39;答案） Better Way

XSS ：对于旧版本的MVC（aspx视图引擎），请始终使用与Html.Encode（）相同的<%: ... %>。对于@Razor View，{{1除非您专门使用@model.something，否则默认情况下始终会自动编码。 Nice Read

相关问题

准备好的语句会阻止sql注入攻击吗？

防止Java程序中的SQL注入攻击

如何防止二阶SQL攻击？

PHP / MYSQL防止sql注入攻击功能

在MySQL中使用预处理语句是否可以防止SQL注入攻击？

防止SQL注入和XSS攻击

为什么人们说使用存储过程可能会减少SQL注入攻击？

pgdb是否可以防止注入攻击？

如何防止sql注入攻击？

使用存储过程是否会阻止SQL注入/ XSXX攻击？

最新问题

我写了这段代码，但我无法理解我的错误

我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？

是否有可能使 loadstring 不可能等于打印？卢阿

java中的random.expovariate()

Appscript 通过会议在 Google 日历中发送电子邮件和创建活动

为什么我的 Onclick 箭头功能在 React 中不起作用？

在此代码中是否有使用“this”的替代方法？

在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化

每千个数字得到

更新了城市边界 KML 文件的来源？