c# – 何时担心SQL注入保护
发布时间:2020-12-15 18:10:20 所属栏目:百科 来源:网络整理
导读:小背景:我是这家公司唯一的程序员.我正在使用预先存在的框架. 也就是说,该公司有一个DLL(Database.dll),其中包含“我需要的所有数据库交互”.在,它有一个Query(),Update(),Insert()等.现在,我正在编写的项目设置对Database.dll的引用.我的项目接受零用户输
小背景:我是这家公司唯一的程序员.我正在使用预先存在的框架.
也就是说,该公司有一个DLL(Database.dll),其中包含“我需要的所有数据库交互”.在,它有一个Query(),Update(),Insert()等.现在,我正在编写的项目设置对Database.dll的引用.我的项目接受零用户输入.与用户输入最接近的是用户可以从中选择日期的下拉框.没有太多的经验,我很好奇我是否还需要担心SQL注入?如果是这样,那么查询会写得像 var query = string.Format("SELECT timestamp FROM table1 WHERE date = "{0}" AND measured_dist = bit_loc AND rop > 0",Date)) 足够作为参数化查询?请记住,所有查询执行都由预先存在的Query()处理,我告诉我必须使用它,并且无法编辑. 编辑 该程序是一个WinForm应用程序. 解决方法
如评论中所述,答案是“永远”.因为将参数添加到那个并且正确地执行它而不是连接是如此容易:只是第一次正确执行.另外:你认为注射不是你所展示的代码中唯一的问题吗?该代码也易受本地化/国际化的影响.对于在不同文化中配置PC的用户会发生什么?日期和数字将以不同的方式呈现 – 并且经常会破坏.参数不会发生这种情况.另外:名字经常有撇号:)
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- vs 编译zint库 zint库依赖 zlib库和libpng库--------------
- c – 如何将类型从const char *转换为char *
- postgresql – 在CL Postmodern中:col-type用于多对多字段
- 学习简单的MVC中的Ajax
- FrameworkElement.DataContext 属性
- XML解析
- 如何oracle 某一用户授予查询另一个用户某张表的权限,以及
- ruby-on-rails – Rails 4 – request.original_fullpath和
- 高版本orcale导出的dmp导入低版本oracle报错:oracle 导入
- C#使用开源驱动连接操作MySQL数据库