C# Parameterized Parameters verwendet sp_executesql zur Ausführung von SQL-Anweisungen

Kleiner Abschaum · Veröffentlicht am 18.09.2016 15:44:20

Wir wissen, dass wir bei der Abfrage der Datenbank oft Bedingungen einbringen müssen, um die Datenbank abzufragen.

Diese bedingten Quellen stammen alle aus Anfragen des Client-Benutzers, und wenn der Client eine bösartige Zeichenkette hat,

Fordern Sie unseren Server an und bilden Sie eine zusammengeschnittene SQL-Anweisung.

So kann SQL-Injection entstehen

Parameter können SQL-Injection effektiv verhindern – woher wissen wir, wie Parameter das machen? Wie wird es realisiert?

Hier ist ein C#-Code:

Login ist sichtbar.

Schauen wir uns einen Code an, der im Internet gefunden wurde, und welchen Code in der Datenbank erzeugt wird:

Login ist sichtbar.

https://msdn.microsoft.com/zh-cn/library/ms188001.aspx

Der obige Link ist Microsofts offizielle Einführung in sp_executesql.

pursuetão · Veröffentlicht am 07.01.2022 15:04:55

ddddddddddddddd

[Quelle] C# Parameterized Parameters verwendet sp_executesql zur Ausführung von SQL-Anweisungen

Verwandte Beiträge

Betrachtete Abschnitte