日期:2014-05-17  浏览次数:20479 次

【高分】多个不定参数编写存储过程如何防注入
参数有多个,查询的时候可以任意选择,怎么避免存储过程被注入

------解决方案--------------------
1,最好是不要把拼接的sql传到过程中,只要是拼接的就有被注入的可能. 
2,写一个函数来处理,把一些特殊的字符替换为中文的字符,显示时把它替换回来,比如把'替换为’ 
------解决方案--------------------
只要有sql拼接,总有你没有考虑的关键字,或关键条件 如 or 1=1 等
------解决方案--------------------
1:制定一个参数的模版进行拼接sql语句
2:使用exec sp_executesql 使用参数的方式进行执行语句