sql - パラメータ付きのSQLインジェクション

Question

以下は、Sql インジェクション攻撃ベクトルを公開していますか? もしそうなら、どうすればそれを防ぐことができますか？

@bookId = '1234;' + 'Drop table Books;'
Select * from Books where bookId = @bookId

そのように実行されませんか？:

Select * from Books where bookId = 1234; Drop table Books;

score 5 · Accepted Answer

いいえ、それはしません。それはパラメータ化の仕組みではありません。パラメータ化は文字列連結ではありません。

このコードは、ID がである本を見つけようとします1234;Drop table Books;。の場合、型キャストで失敗しbookIdますinteger。

あなたは安全です。

score 1 · Accepted Answer

1

于 2013-04-15T21:32:40.897 に答える

2 に答える 2