blocks|key|3518773|text|SQL+injection是将用户输入的值直接放入查询中的地方，允许恶意用户利用您的安全漏洞访问或损坏您的数据库。例如，您有一个要搜索的文本框，它们输入的值位于实际查询中。|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|3518774|除非您的命令参数是由用户动态输入的，否则SQL注入不会构成威胁。|3518775|entityMap|0|LINK|mutability|MUTABLE|url|http://en.wikipedia.org/wiki/SQL_injection^0|0|D|0|0|0^^$0|@$1|2|3|4|5|6|7|N|8|@]|9|@$A|O|B|P|1|Q]]|C|$]]|$1|D|3|E|5|6|7|R|8|@]|9|@]|C|$]]|$1|F|3|-4|5|6|7|S|8|@]|9|@]|C|$]]]|G|$H|$5|I|J|K|C|$L|M]]]]

<a href="http://en.wikipedia.org/wiki/SQL_injection" rel="nofollow">SQL injection</a> is where user-entered values are put directly into queries, allowing malicious users to access or damage your database by taking advantage of your security loopholes. For example, you have a textbox to search, and the value they enter goes inside the actual query. 

Unless your command argument is dynamically entered by the user then SQL injection wouldn't be a threat.

blocks|key|1618865|text|这取决于“直接放入SQL查询”是否意味着它们是参数化查询的参数，还是作为文字...如果从字面上看，答案是否定的。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1618866|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

It depends whether "put directly into a SQL Query" means they are parameters of a parameterized Query or as literals... if as literals then the answer is NO.

blocks|key|3234254|text|如果您使用的是原始SQL，那么您可能会使用DataTable对象，对吧？如果您使用的是DataTable，则可以在使用DataView从数据库中提取数据后对其进行排序，并将控件绑定到DataView。这样，就不会授予用户提交的数据访问您的SQL的权限。所以，在你的代码中，你可以这样做：|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|3234255|DataTable+dt+=+GetData();+//+pull+data+from+DB+with+no+sort+specified
DataView+view+=+dt.DefaultView;++//+Get+a+DataView+so+you+can+sort
view.Sort+=+"Col1,+Col2+DESC";+//+assemble+sort+string+from+your+command+args
MyControl.DataSource+=+view;
MyControl.DataBind();|code-block|syntax|javascript|3234256|entityMap^0|L|9|1N|8|0|0^^$0|@$1|2|3|4|5|6|7|M|8|@$9|N|A|O|B|C]|$9|P|A|Q|B|C]]|D|@]|E|$]]|$1|F|3|G|5|H|7|R|8|@]|D|@]|E|$I|J]]|$1|K|3|-4|5|6|7|S|8|@]|D|@]|E|$]]]|L|$]]

If you are using raw SQL, then you are likely using <code>DataTable</code> objects, right? If you are using a DataTable, then you can sort that data after it's pulled from the database using a <code>DataView</code> and bind your control to the DataView. That way, you're not giving user submitted data access to your SQL. So, in your code you'd do something like this:

<pre><code>DataTable dt = GetData(); // pull data from DB with no sort specified
DataView view = dt.DefaultView; // Get a DataView so you can sort
view.Sort = "Col1, Col2 DESC"; // assemble sort string from your command args
MyControl.DataSource = view;
MyControl.DataBind();
</code></pre>

blocks|key|1618969|text|如果要将值从ViewState传递到连接的SQL，则为yes。但是，如果您正在使用Bind+Parameters+(您正在使用，不是吗？)那你就不用担心了。|type|unstyled|depth|inlineStyleRanges|entityRanges|offset|length|data|1618970|不好的：|style|BOLD|1618971|string+sql+=+"select+*+from+product+where+name+=+'+%2B+ProductNameTextBox.Text+%2B+'"|code-block|syntax|javascript|1618972|Good:|1618973|string+sql+=+"select+*+from+product+where+name+=+@name"

using(var+command+=+new+SqlCommand(sql,+connection))
{

+++SqlParameter+param+=+new+SqlServerParameter("@name",+SqlDbType.VarChar,+50);
+++param.Value+=+ProductNameTextBox.Text;

+++command.Parameters.Add(param);

+++command.ExecuteNonQuery();
}|1618974|entityMap|0|LINK|mutability|MUTABLE|url|http://www.richquackenbush.com/search?q=bind%2520parameters^0|15|F|0|0|3|1|0|0|0|5|0|0^^$0|@$1|2|3|4|5|6|7|Y|8|@]|9|@$A|Z|B|10|1|11]]|C|$]]|$1|D|3|E|5|6|7|12|8|@$A|13|B|14|F|G]]|9|@]|C|$]]|$1|H|3|I|5|J|7|15|8|@]|9|@]|C|$K|L]]|$1|M|3|N|5|6|7|16|8|@$A|17|B|18|F|G]]|9|@]|C|$]]|$1|O|3|P|5|J|7|19|8|@]|9|@]|C|$K|L]]|$1|Q|3|-4|5|6|7|1A|8|@]|9|@]|C|$]]]|R|$S|$5|T|U|V|C|$W|X]]]]

If you are passing values from the ViewState into concatenated SQL, then yes. However, if you're using <a href="http://www.richquackenbush.com/search?q=bind%20parameters" rel="nofollow">Bind Parameters</a> (you are, aren't you?) then you don't have to worry about it.

Bad:

<pre><code>string sql = "select * from product where name = ' + ProductNameTextBox.Text + '"
</code></pre>

Good:

<pre><code>string sql = "select * from product where name = @name"

using(var command = new SqlCommand(sql, connection))
{

 SqlParameter param = new SqlServerParameter("@name", SqlDbType.VarChar, 50);
 param.Value = ProductNameTextBox.Text;

 command.Parameters.Add(param);

 command.ExecuteNonQuery();
}
</code></pre>

I am using commandname and commandargument to control sorting (field and direction). How secure is the viewstate from SQL injection.

.net viewstate safe from SQL injection?

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

我使用命令名和命令来控制排序(字段和方向)。来自SQL注入的视图状态的安全性如何。

问.net视图状态不受.net注入的影响？
EN

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问.net视图状态不受.net注入的影响？EN