如果检查输入,是否需要参数化 SQL 搜索?
作者:Hattie35 提问时间:7/30/2020
我正在编写一个 R Shiny/SQLite 应用程序。在应用程序中,我有一个函数,它从我的 SQLite 数据库中的一个表中返回一列,该函数将表名作为输入。 在将查询发送到 SQLite 之前,该...
参数化查询 问答列表
c# - 参数化查询
作者:user6097989 提问时间:4/12/2016
我正在开发一个 .net 网站,该网站使用使用 Insert/Update 和 Select Queries 的 DB2 数据库。我研究了 SQL 注入,我相信我已经参数化了我的查询以避免 SQL 注...
不参数化MySQL查询,而是在进行非常大的插入时使用MySqlHelper.EscapeString(string)方法是否安全?
作者:d703732 提问时间:7/10/2019
例如: StringBuilder sCommand = new StringBuilder("INSERT INTO User (FirstName, LastName) VALUES "); ...
当参数不是字符串时,不参数化 SQL 查询是否安全?
作者:johnnyRose 提问时间:9/18/2015
在SQL注入方面,我完全理解参数化的必要性;这是书中最古老的技巧之一。但是什么时候可以证明不参数化是合理的?是否有任何数据类型被认为是“安全的”,可以不进行参数化?stringSqlCommand ...