SQL 注入

SQL注入就不用介绍了，网上很多。下面介绍一下防止
SQL注入的方法。
使用
quotename 函数和
sp_executesql
参考如
下表结构：这是一个文档表里面有一些简单的字段信息
CREATE
TABLE
[dbo]
.
[DocumentInfo]
(
    [ID]
[int]
IDENTITY
(
1,
1) primary key
 NOT
NULL,--
主键
    [Name]
[varchar]
(
100)
NOT
NULL,--
文档名字
    [FunctionID]
[int]
NOT
NULL
，
--
功能
ID
外键
    [TypeInfo]
[nvarchar]
(
2000)
NULL—
描述信息
）
我们可能会按，主键
ID，文档的名字，功能
id，
描述信息进行查询
，这个一看就是拼接
sql语句，如果不用上面的方法很可能造成
sql注入
例如你写的存储过程可能如下：
CREATE

proc
 [dbo]
.
[Doc_search]
(
@ID
int
,
@name
varchar
(
10),
@FID
int
,
@Info
nvarchar
(
20)
)
as
begin

declare
@sql
varchar
(
300)
set
@sql
=
'select * from
[DocumentInfo] where 1=1'
if
@ID
<>-
1
set
@sql
=
@sql
+
' and ID='
+
CAST
(
@ID
as
varchar
)
if
@name
<>
''
set
@sql
=
@sql
+
' and name='''
+
CAST
(
@name
as
varchar
)
+
''''
if
@FID
<>-
1
set
@sql
=
@sql
+
' and
[FunctionID]='
+
CAST
(
@FID
as
varchar
)
if
@Info
<>
''
set
@sql
=
@sql
+
' and [TypeInfo] like ''%'
+
CAST
(
@Info
as
varchar
)+
'%'''
print
@sql
end
exec
(
@sql
)
虽然你用了带参数的存储过程
，但本质上还是拼接字符串，没有有效的防治
sql注入。现在
分别用
quotename()函数和
sp_executesql。
Quotename()函数不知道用的请自行查找，
sp_executesql的用法
见上一篇动态
sql
Quotename改进如下：
alter
proc
 [dbo]
.
[Doc_search]
(
@ID
int
,
@name
varchar
(
10),
@FID
int
,
@Info
nvarchar
(
20)
)
as
begin

declare
@sql
varchar
(
300)
set
@sql
=
'select * from
[DocumentInfo] where 1=1'
if
@ID
<>-
1
set
@sql
=
@sql
+
' and ID='
+
CAST
(
@ID
as
varchar
)