首页 相关文章 防SQL注入:生成参数化的通用分页查询语句

防SQL注入:生成参数化的通用分页查询语句

  前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程。使用这种通用的存储过程进行分页查询,想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号“'”转换成两个单引号“''”,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效防SQL注入,只有参数化查询才是最终的解决方案。但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写一个分页存储过程,这会增加不少的工作量。

  经过几天的时间考虑之后,想到了一个用代码来生成参数化的通用分页查询语句的解决方案。代码如下:

  public class PagerQuery
  {
    private int _pageIndex;
    private int _pageSize = 20;
    private string _pk;
    private string _fromCla...[ 查看全文 ]

2016-02-19 标签:

防SQL注入:生成参数化的通用分页查询语句的相关文章

手机页面
收藏网站 回到头部