我使用以下查询从表中获取所有内容
SqlCmd.CommandText = "Select * from Product";
SqlCmd.connection = myConnection();
myConnection.open();
reader = sqlCmd.ExecuteReader();
据我所知,当我们在select中使用输入参数时,可能会出现SQL注入攻击。那么当我们不使用where子句时,我们如何保护。
我们可以使用以下查询来阻止SQL注入。
SqlCmd.CommandText = "Select Name from Product";
答案 0 :(得分:0)
在将变量放入用户可以放入代码的查询中时会发生注入。用户覆盖您的语句并使用自己的语句(注入SQL代码)。您的选择查询不符合该条件,因为用户无法与之交互。
ASP.net中应该有一些函数允许你预先声明语句。我没有使用asp.net,但谷歌搜索可以帮助你了解你正确的方向。