带有参数化查询的经典ASP页面上的SQL注入:文本字段
答
并非所有的SQL存储的特效是注射安全
http://palisade.plynt.com/issues/2006Jun/injection-stored-procedures/
+3
该文章使用依赖动态生成的SQL的示例。尽管SQL是在服务器端生成的,但这又重新引入了注入漏洞问题。这里的教训是**避免在任何情况下使用动态SQL **。 – 2010-01-21 22:15:08
+0
好的讨论ExecuteSQL,必须以特定的方式来处理安全性(必须确保签署特定的过程,以便不使用DBO作为过程的运行者)。 – Caveatrob 2010-01-21 22:15:40
答
如果使用参数化查询,您可以安全地防范SQL注入攻击。
但不适用于XSS attacks;某些用户可能会将HTML内容插入数据库(考虑<script>,<object>标签),并且在某个页面上,另一个用户可能会执行潜在的恶意代码。
你总是可以尝试注入自己的SQL注入攻击,看看它的表现。 – luiscubal 2010-01-21 22:04:25