[英]SQL Injection in Stored Procedure Query
我有一个存储过程,它将根据用户键入标准搜索文本框的内容返回搜索结果。 按下在搜索框中输入后,我将查询传递给search.aspx?q =无论用户输入什么。
search.aspx有一个sqldatasource,它接受一个查询字符串参数并调用一个连接多个表的存储过程,并包含以下where子句......
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query
or n.note like '%' + @query + '%')
...这个sql注入是安全的,即使用这样的参数吗?
谢谢,
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.