Το C# Parameterized Parameters χρησιμοποιεί sp_executesql για την εκτέλεση εντολών sql

Μικρά αποβράσματα · Δημοσιεύτηκε στις 18/9/2016 3:44:20 μ.μ.

Γνωρίζουμε ότι όταν κάνουμε ερώτημα στη βάση δεδομένων, συχνά πρέπει να φέρουμε κάποιες συνθήκες για να ρωτήσουμε τη βάση δεδομένων.

Όλες αυτές οι προελεύσεις υπό όρους προέρχονται από αιτήματα χρηστών του προγράμματος-πελάτη και εάν ο πελάτης έχει μια κακόβουλη συμβολοσειρά,

Ζητήστε στον διακομιστή μας και σχηματίστε μια συνδεδεμένη δήλωση sql.

Έτσι, μπορεί να σχηματιστεί SQL injection

Οι παράμετροι μπορούν να αποτρέψουν αποτελεσματικά την έγχυση sql, πώς ξέρουμε πώς το κάνουν οι παράμετροι; Πώς πραγματοποιείται;

Εδώ είναι ένας κωδικός C#:

Η σύνδεση είναι ορατή.

Ας ρίξουμε μια ματιά σε ένα κομμάτι κώδικα που βρέθηκε στο Διαδίκτυο, ποιος κώδικας δημιουργείται στη βάση δεδομένων:

Η σύνδεση είναι ορατή.

https://msdn.microsoft.com/zh-cn/library/ms188001.aspx

Ο παραπάνω σύνδεσμος είναι η επίσημη εισαγωγή της Microsoft στο sp_executesql.

Καταδίωξη · Δημοσιεύτηκε στις 7/1/2022 3:04:55 μ.μ.

[Πηγή] Το C# Parameterized Parameters χρησιμοποιεί sp_executesql για την εκτέλεση εντολών sql

σχετικές αναρτήσεις

Ενότητες που προβλήθηκαν