代码之家  ›  专栏  ›  技术社区  ›  Thomas Hansen

ActiveRecord/nHibernate SQL生成是否“安全”?

castle-activerecord sql-injection nhibernate sql
  •  1
  • Thomas Hansen  · 技术社区  · 16 年前

    我在做这个系统 Stacked 我正在创建搜索功能。在这个过程中,我想到 大概 “\r\n删除数据库xxx;--”和类似的内容…?”。。。?

    我希望他们是安全的,但我不确定。。。

    2 回复  |  直到 16 年前
        1
  •  4
  •   Sean Carpenter    16 年前

    NHibernate(扩展为ActiveRecord)生成以下形式的参数化SQL语句 sp_executesql 'select blah from table where column = @p1', '@p1 varchar(10)', @p1 = 'drop database xxx;---' 查询。这些类型的SQL语句不会被SQL注入,因为参数的内容不会被执行(这与使用简单连接时的情况不同)。

        2
  •  0
  •   Dustin    16 年前

    如果你发现一个安全漏洞,你一定要把它归档。许多人依赖这些东西。

    推荐文章
    Community wiki  ·  我应该写更多的SQL来提高效率,还是应该写更少的SQL来减少bug?
    1 年前
    Community wiki  ·  SQL语法新手
    1 年前
    Thomas Leplus  ·  PLS-00306:过程调用中的参数数量或类型错误
    1 年前
    KateMak  ·  是否将多行中的多列与唯一id组合?
    1 年前
    Mateusz Urbański  ·  在PostgreSQL中按计算经验分组
    1 年前
    Karuna  ·  SQL中列内的筛选器[重复]
    1 年前
    Irvan Affandy  ·  为另一个选择选择声明的键
    1 年前
    Community wiki  ·  这个MySQL语句出了什么问题?
    1 年前
    user22329205  ·  如何使用Google BigQuery中的条件,根据特定列值连接列的N行?
    1 年前
    Community wiki  ·  优化从同一表中提取的多列的查询
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号