sql >> Database teknologi >  >> RDS >> Sqlserver

Hvordan forhindrer SQLParameter SQL-injektion?

Dybest set, når du udfører en SQLCommand ved hjælp af SQLParameters , bliver parametrene aldrig indsat direkte i sætningen. I stedet en systemlagret procedure kaldet sp_executesql kaldes og gives SQL-strengen og rækken af ​​parametre.

Når de bruges som sådan, isoleres parametrene og behandles som data, i stedet for at de skal parses ud af sætningen (og dermed muligvis ændres), så det, parametrene indeholder, kan aldrig "udføres". Du får bare en stor fejl om, at parameterværdien på en eller anden måde er ugyldig.



  1. Hvordan genskaber man en slettet tabel med Django Migrations?

  2. Oracle:Importer CSV-fil

  3. 5 gode grunde til at downloade og bruge Microsoft Access-skabeloner

  4. Hvordan kan jeg bruge mySQL replace() til at erstatte strenge i flere poster?