当前位置：文江博客话题详情

使用字符串列表进行 SQLite 注入

发布于 2024-08-18 14:21:29 字数 202 浏览 4 评论 0原文

谁能告诉我一种在为 SQLite 构建查询时防止 sql 注入的方法，其中 WHERE 子句有一个 "myval IN (string_1, ... , string_n) “条件？

我想动态地构建带有注释的命令文本，并从字符串列表中添加这些注释的参数。有更简单的方法吗？

谢谢。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

作死小能手 2024-08-25 14:21:29

不，没有更简单的方法了。不要列出危险人物的清单。只需使用带有参数的命令即可。

using (var conn = new SQLiteconnection(connectionString))
using (var command = conn.CreateCommand())
{
    conn.Open();
    command.CommandText = "select name from persons where id = @id";
    command.Parameters.AddWithValue("@id", 5);
    using (var reader = command.ExecuteReader())
    {
        while (reader.Read())
        {

        }
    }
}

No, there's no easier way. Don't make a list of dangerous characters. Just use command with parameters.

using (var conn = new SQLiteconnection(connectionString))
using (var command = conn.CreateCommand())
{
    conn.Open();
    command.CommandText = "select name from persons where id = @id";
    command.Parameters.AddWithValue("@id", 5);
    using (var reader = command.ExecuteReader())
    {
        while (reader.Read())
        {

        }
    }
}

回复收藏 0 原文

~没有更多了~