ActiveRecord/nHibernate SQL 生成“安全”吗？

发布于 2024-07-09 01:29:46 字数 260 浏览 10 评论 0原文

我正在做这个系统 Stacked 并且我正在创建搜索功能。在这个过程中，我突然想到 AR/nHibernate Expression.Like（以及兄弟姐妹）可能不是 100%“安全”，因为您可以创建类似的东西； “\r\ndrop database xxx;---”和类似的东西......？

我希望他们是安全的，但我不确定......

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

蝶…霜飞 2024-07-16 01:29:46

NHibernate（以及扩展的 ActiveRecord）生成形如 sp_executesql 'select blah from table where column = @p1', '@p1 varchar(10)', @p1 = 'drop database xxx;--- 的参数化 SQL 语句' 用于查询。这些类型的 SQL 语句可以安全地避免 SQL 注入，因为参数的内容不会被执行（与使用简单串联时的情况不同）。

所以是的，两者都是“安全的”。

回复收藏 0 原文