【高分】多个不定参数编写存储过程如何防注入
参数有多个,查询的时候可以任意选择,怎么避免存储过程被注入
[解决办法]
1,最好是不要把拼接的sql传到过程中,只要是拼接的就有被注入的可能.
2,写一个函数来处理,把一些特殊的字符替换为中文的字符,显示时把它替换回来,比如把'替换为’
[解决办法]
只要有sql拼接,总有你没有考虑的关键字,或关键条件 如 or 1=1 等
[解决办法]
1:制定一个参数的模版进行拼接sql语句
2:使用exec sp_executesql 使用参数的方式进行执行语句
