Foxtable(狐表)用户栏目专家坐堂 → [求助]SQLLoad的SQLCommand参数化问题


  共有2109人关注过本帖树形打印复制链接

主题:[求助]SQLLoad的SQLCommand参数化问题

帅哥哟,离线,有人找我吗?
larjia
  1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00
[求助]SQLLoad的SQLCommand参数化问题  发帖心情 Post By:2018/12/8 22:04:00 [只看该作者]

SQLLoad的参数可以是SQLCommand吗?目的是为了能使用参数化SQLCommand,仅字符串的sql参数会不会不安全?

[此贴子已经被作者于2018/12/8 22:10:46编辑过]

 回到顶部
帅哥哟,离线,有人找我吗?
larjia
  2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00
  发帖心情 Post By:2018/12/9 12:46:00 [只看该作者]

求助,这个问题怎么解决好?

 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  3楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2018/12/9 15:47:00 [只看该作者]

以下是引用larjia在2018/12/8 22:04:00的发言:
SQLLoad的参数可以是SQLCommand吗?目的是为了能使用参数化SQLCommand,仅字符串的sql参数会不会不安全?

[此贴子已经被作者于2018/12/8 22:10:46编辑过]

 

sqlLoad只能用sql语句,不存在不安全的情况。得看你怎么用了。具体一点你的问题。

 


 回到顶部
帅哥哟,离线,有人找我吗?
larjia
  4楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00
  发帖心情 Post By:2018/12/9 21:45:00 [只看该作者]

我使用的是拼接SQL的方法,比如下面的查询界面。各个字段拼接成一个Where语句,然后使用SQLLoad。

 

我的问题是使用这种方式,如果假设用户在字段中写入包含SQL语句,比如类似Delete之类的,会不会造成SQL注入不安全?或者怎样做比较安全一些?

 


图片点击可在新窗口打开查看此主题相关图片如下:search.png
图片点击可在新窗口打开查看


 回到顶部
帅哥哟,离线,有人找我吗?
有点甜
  5楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:版主 帖子:85326 积分:427815 威望:0 精华:5 注册:2012/10/18 22:13:00
  发帖心情 Post By:2018/12/9 22:22:00 [只看该作者]

防止sql注入即可。

 

检测是否存在关键字(sqlserver关键字以及特殊字符等),如果存在,提示错误,不执行。

 


 回到顶部
帅哥哟,离线,有人找我吗?
larjia
  6楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:幼狐 帖子:92 积分:931 威望:0 精华:0 注册:2018/2/28 12:33:00
  发帖心情 Post By:2018/12/10 0:07:00 [只看该作者]

谢谢!这么晚还给回复,赞!

 回到顶部