繁体 English 中英

当必须动态创建SQL语句时，如何使用参数防止SQL注入？

[英]How can I use parameter to prevent sql injection when I must create SQL statement dynamically?

原文 2016-07-26 07:22:25 3 1 c#/ asp.net/ security

我有部分可能的代码如下。 我必须通过使用添加代码之类的参数来防止SQL注入

myCommand.Parameters.AddWithValue("@mystring", myString);

有可能使用吗？

因为我有一些动态参数，例如“ select XXX，XXX，....”。

count = myStringLists.count;
sql.Append(" select");

foreach(string myString in myStringLists)
{    
    sql.Append(string.Format("{0} ", myString));

    if ((count--) > 1) sql.Append("\n ,"); else sql.Append("\n  ");
}

1 个解决方案

您可以使用sp_executesql执行动态sql

请参考sp_executesql

C＃为create语句阻止SQL注入

[英]C# prevent SQL injection for create statement

如何在没有数据库连接的情况下使用 SQL 服务器类（例如 SqlCommand）来防止 SQL 注入？

[英]How can I use SQL Server classes (e.g. SqlCommand) to prevent SQL injection WITHOUT database connection?

在SELECT语句中防止SQL注入

[英]Prevent SQL Injection in SELECT statement

我可以从SELECT语句中获得SQL注入攻击吗？

[英]Can I get SQL injection attack from SELECT statement?

当表名为字符串时，如何创建LINQ-to-SQL语句？

[英]How can I create a LINQ-to-SQL statement when I have table name as string?

如何在允许良性SQL注入的同时防止恶意SQL注入攻击？

[英]How do I prevent malicious SQL injection attacks while allowing benign SQL injection?

如何参数化 SQL 表而不存在 SQL 注入漏洞

[英]How can I parameterize an SQL table without vulnerability to SQL injection

如何在SQL语句中使用UTF-8？

[英]How can I use UTF-8 in SQL Statement?

我如何在 LINQ 中使用 SQL 内连接语句作为查询

[英]How can i use SQL inner join statement as query in LINQ

如何在实体框架中使用SQL“ and”语句？

[英]How can I use the SQL “and” statement in Entity Framework?

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 C＃为create语句阻止SQL注入如何在没有数据库连接的情况下使用 SQL 服务器类（例如 SqlCommand）来防止 SQL 注入？在SELECT语句中防止SQL注入我可以从SELECT语句中获得SQL注入攻击吗？当表名为字符串时，如何创建LINQ-to-SQL语句？如何在允许良性SQL注入的同时防止恶意SQL注入攻击？如何参数化 SQL 表而不存在 SQL 注入漏洞如何在SQL语句中使用UTF-8？我如何在 LINQ 中使用 SQL 内连接语句作为查询如何在实体框架中使用SQL“ and”语句？

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM