存储过程查询中的SQL注入
[英]SQL Injection in Stored Procedure Query
问题描述
我有一个存储过程,它将根据用户键入标准搜索文本框的内容返回搜索结果。 按下在搜索框中输入后,我将查询传递给search.aspx?q =无论用户输入什么。
search.aspx有一个sqldatasource,它接受一个查询字符串参数并调用一个连接多个表的存储过程,并包含以下where子句......
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query
or n.note like '%' + @query + '%')
...这个sql注入是安全的,即使用这样的参数吗?
谢谢,
1 个解决方案
解决方案1
3 已采纳 2013-03-30 03:27:32
如何在插入记录时使用存储过程阻止SQL注入?
[英]How to prevent SQL injection using a stored procedure while insert record?
获取存储过程的结果并在我的代码后面的SQL查询中使用
[英]Take results of stored procedure and use in SQL query in my code behind
在SQL Server中的存储过程中进行查询,但发生一些错误
[英]Making query in stored procedure in SQL Server but some error occurs
如何在C#中使用sql dataadapter进行内联查询作为存储过程
[英]how to make in line query as stored procedure with sql dataadapter in c#
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.