我已在经典 ASP 应用程序中对查询进行了参数化,但不确定是否需要清理或清理自由文本字段,或者参数化是否足以防止注入。
如果您使用参数化查询,则可以安全地抵御 SQL 注入攻击。
但不是为了XSS攻击;一些用户可以插入 HTML 内容(想想<script>
, <object>
标签)进入您的数据库,并且在某个页面上,另一个用户会执行潜在的恶意代码。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)