我对这种情况存有疑问。
我在存储过程中有这样的查询:
SELECT column1, column2
FROM table1
WHERE column1 like '%' + @column1 + '%'
我的问题是,这容易受到 SQL 注入攻击吗?我需要将其更改为这样的内容:(?)
declare @column1Like nvarchar(200);
@column1Like = '%' + @column1 + '%'
SELECT column1, column2
FROM table1
WHERE column1 like @column1Like
Regards
快速回答是否定的。为了容易受到 SQL 注入攻击,必须使用动态 SQL 执行。
This会很脆弱:
EXECUTE ('SELECT column1, column2 FROM table1 WHERE column1 like ' + @column1Like);
这也意味着您的两个示例之间没有真正的区别(至少从安全角度来看)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)