- 我已经多次使用参数化查询,我知道它有助于防止 SQL 注入。
但是,我想知道我是否可以知道参数化查询中的基本逻辑是什么
防止SQL注入可能很简单,但我不知道。我尝试在 google 上搜索它的基本内容,但每次我都找到一个如何在 Asp.net 中使用参数化查询的示例。
- 我知道要创建一个特殊的类来停止 SQL 注入中使用的那些特殊字符,例如 (',-- 等),但是仅停止特殊字符是否可以完全防止 SQL 注入?
- 最后一件事是.net参数化查询可以完全阻止SQL注入吗?
我认为参数化查询不依赖于准备好的查询数据库支持。数据库驱动程序本身以安全的方式传递值,并且如何完成取决于驱动程序本身。
The PostgreSQL 手册解释了参数化查询的基础知识 http://www.postgresql.org/docs/current/interactive/sql-prepare.html在数据库级别。
另一方面,参数化查询简化了区域设置敏感数据的传递。
例如,用户输入小数 100,00,但您的服务器需要 100.00 值。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)