输出数据不受 SQL 注入的影响?
Output data safe from SQL-injection?
我有一个数据驱动的网站,用户可以在进入数据库的页面上输入一些字符串。我对所有插入和更新都使用 LINQ,所以我认为这部分是安全的。输入的数据随后会在另一个页面上显示给用户。
输出数据时,我还没有使用LINQ(不确定是否需要),我有一些"SELECT"语句,类似于:
SELECT Name, Description FROM Table WHERE ID=something
我的问题是:如果上述语句中的"Name"或"Description"数据包含恶意代码,那么SQL注入可能在那个上下文中吗?
我所有带有 "WHERE" 子句的 SELECT 语句肯定只是比较数字,所以我认为那部分是安全的。干杯。
只要您不是根据用户输入自己创建 SQL 语句,就可以。
例如,如果您执行了以下操作:
var sqlStatement = "SELECT " + Name + "FROM Table WHERE ID=something";
并且使用它,它肯定会引入 SQL 注入攻击的机会。
我有一个数据驱动的网站,用户可以在进入数据库的页面上输入一些字符串。我对所有插入和更新都使用 LINQ,所以我认为这部分是安全的。输入的数据随后会在另一个页面上显示给用户。
输出数据时,我还没有使用LINQ(不确定是否需要),我有一些"SELECT"语句,类似于:
SELECT Name, Description FROM Table WHERE ID=something
我的问题是:如果上述语句中的"Name"或"Description"数据包含恶意代码,那么SQL注入可能在那个上下文中吗?
我所有带有 "WHERE" 子句的 SELECT 语句肯定只是比较数字,所以我认为那部分是安全的。干杯。
只要您不是根据用户输入自己创建 SQL 语句,就可以。
例如,如果您执行了以下操作:
var sqlStatement = "SELECT " + Name + "FROM Table WHERE ID=something";
并且使用它,它肯定会引入 SQL 注入攻击的机会。