[解決済み] SQLParameterはどのようにSQLインジェクションを防ぐのですか?
2023-07-29 16:18:39
質問
具体的にはどのような背景があるのでしょうか? SQLParameter が .NET のパラメータ化されたクエリにおける SQL Inection 攻撃を防止しているのは、いったいどのような背景からなのでしょうか。 単に疑わしい文字を削除しているだけなのか、それとももっと何かあるのでしょうか?
悪意のある入力を渡したときに、実際に何が SQL Server に届くかを確認した人はいますか?
関連する SQLのFROM文の中でSQLParameterを使用できますか?
どのように解決するのですか?
基本的に
SQLCommand
を使って
SQLParameters
を使う場合、パラメータは決して文に直接挿入されません。その代わり
sp_executesql
と呼ばれるシステム ストアド プロシージャが呼び出され、SQL 文字列とパラメータの配列が渡されます。
このように使用された場合、パラメータは分離され、文から解析されるのではなく、データとして扱われます(したがって、文が変更される可能性があります)。パラメータの値が何らかの方法で無効であるという大げさなエラーが表示されるだけです。
関連
-
[解決済み] なぜGoogleはJSONレスポンスにwhile(1);を前置するのでしょうか?
-
[解決済み] enumを列挙するには
-
[解決済み] SQL ServerでSELECTからUPDATEする方法とは?
-
[解決済み] PHPでSQLインジェクションを防ぐにはどうしたらいいですか?
-
[解決済み] SQL Server で複数行のテキストを 1 つのテキスト文字列に連結する方法
-
[解決済み] SQL Server テーブルにカラムが存在するかどうかを確認する方法は?
-
[解決済み] なぜList<T>を継承しないのですか?
-
[解決済み] PDOのプリペアドステートメントは、SQLインジェクションを防ぐのに十分ですか?
-
[解決済み】SQL Serverで既存のテーブルにデフォルト値を持つカラムを追加する
-
[解決済み】XKCDコミック「Bobby Tables」のSQLインジェクションはどのように動作するのでしょうか?
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] Microsoft.Practices.ServiceLocationはどこから来たのですか?
-
[解決済み] WCF エラーの解決。このサービスのメタデータパブリッシングは現在無効になっています。
-
[解決済み] スマートクライアント・ソフトウェアファクトリーの体験談
-
[解決済み] NetFx45WebLinkとNetFx45RedistLinkの違いは何ですか?
-
[解決済み] Microsoft.NETFrameworkとMicrosoft.NETFramework64の違いは何ですか?
-
[解決済み] ASP.NET control to render a <div>
-
[解決済み] DockPanelを空きスペースいっぱいに表示させる方法
-
[解決済み] .NET WebRequestを使用してsharepointにファイルをアップロードすると、409/Conflict HTTPエラーが発生する理由?
-
[解決済み] AssemblyVersion、AssemblyFileVersion、AssemblyInformationalVersionの違いは何ですか?
-
[解決済み] WCF - メッセージサイズのクォータを増加させる方法