/ Je injekcia SqlCommand.Parameters.AddWithValue bezpečné? - .net, parametre, sql-injection, sqlcommand, sql-parametrized-query

Je injekcia SqlCommand.Parameters.AddWithValue bezpečná? - .net, parametre, sql-injection, sqlcommand, sql-parametrized-query

Je SqlCommand.Parameters.AddWithValue metóda injekčne bezpečná?

Prijíma Object pre užitočné zaťaženie, ako by mohla chrániť pred injekciou?

odpovede:

6 pre odpoveď č. 1

V skutočnosti závisí od toho, ako ich používate.

Pozrite si rozdiel tu. Prvý je bezpečný, ale nie druhý.

sqlCommand.CommandText = "select * from Books where Title = @title";
sqlCommand.Parameters.AddWithValue("title", txtTitle.Text);

string sql = "select * from Books where title = " + txtTitle.Text;
sqlCommand.CommandText = "exec(@sql)";
sqlCommand.Parameters.AddWithValue("sql", sql);

Viac podrobností nájdete na stránke Zabezpečuje asp.net proti útokom sql injekcie

Súvisiace otázky

Priradenie premennej k dotazu SELECT Statement - vb.net, vba, vb6
Nesprávna syntax v blízkosti ',' [uzavretá] - sql, asp-classic
nesprávna syntax v blízkosti '21' - sql-server, vb.net
Ako môžem použiť operátor '&' VB v dotaze SQL v ASP.NET / C #? - c #, asp.net, vb.net
Pridajte viac SQL hodnôt s rovnakým parametrizovaným dotazom? - c #, sql, .net, sql-server, databáza
Vloženie údajov do lokálnej databázy pomocou parametrov - c #, mysql
C # SqlCommand - nemôže použiť parametre pre názvy stĺpcov, ako vyriešiť? - c #, sql, sql-server-2005
c # login page chyba SQL [closed] - c #, login
Aktualizovať chybu syntaxe v C # - c #, sql, sql-server, ado.net
Nesprávna syntax v blízkosti '=' v c # .net - c #, sql
Pomôžte mi Oprava tohto vyhlásenia SQL? - c #, sql-server
Ktorý sql dotaz je bezpečnejší z hľadiska SQL injection - c #, sql, database, sql-injection
Používa parametrizovaný nástroj SqlCommand, aby bol môj program imunný voči SQL injection? - c #, .net, sql, bezpečnosť, sql-injection
Odstránenie riadka v tabuľke nie je funkčné - c #, sql-server-express
Aktualizácia sql nefunguje [closed] - c #, sql, connection
základy parametrizovaného dotazu - asp.net, sql, parametrized-query
Má asp.net ochranu pred sql injekčným útokom - asp.net, sql, security, sql-injection
Prečo sa tento jednoduchý dotaz preruší? [uzavretý] - asp.net, databáza
prečo vždy príde chytiť blok a nevykonávať riadok "cmd.ExecuteNonQuery ();" - asp.net
Ako znížiť kód v ado.net - asp.net-mvc, ado.net