VS C# SQL 反注入,IN的查询条件语句,改如何实现?
sql吧
全部回复
仅看楼主
level 4
cfwtxx
楼主
我们公司用的是第三方的SqlSugar ORM框架,反注入都推荐传@参数,但是遇到这种IN的就把我整不会了。
真传参的时候,SQL遇到逗号会报错的。
string.Format方法能避免注入吗?
2022年10月31日 06点10分
1
level 13
永远的Key社
'''Y'',''N'',''H'''
2022年11月01日 06点11分
2
cfwtxx
不行的,诶算了,还是正常传值吧。
就期望别被黑客注入了。
2022年11月01日 07点11分
永远的Key社
回复 cfwtxx :如果搞不定参数化,你可以直接检查一下前段传回来的参数,遇到dbcc select update truncate 等等关键字的时候,直接拒绝就行了
2022年11月01日 07点11分
cfwtxx
@永远的Key社
大神不用了,我找到新方法了。
2022年11月01日 07点11分
level 4
cfwtxx
楼主
虽然大神没帮上忙。
不过还是找到新方法了。
AND CHARINDEX(','+RTRIM(K.RESULT)+',',','+
@result
+ ',')>0
我也不知道这个SQL 方法是什么用的。反正效果达到了。
2022年11月01日 07点11分
3
1
![[不高兴]](/static/emoticons/u4e0du9ad8u5174.png)
就期望别被黑客注入了。![[吐舌]](/static/emoticons/u5410u820c.png)