使用单个trim函数是否可以解决sql注入问题？_Sql_Sql Injection

使用单个trim函数是否可以解决sql注入问题？

sql

使用单个trim函数是否可以解决sql注入问题？,sql,sql-injection,Sql,Sql Injection,由于trim函数删除了空间，它是否解决了sql注入的问题？如果没有，是否有人可以发布一个示例。否，添加修剪不会阻止sql注入。修剪只会删除字符串外部的空间 Select * from aTable where name like '%'+@SearchString+'%' 如果您@SearchString持有类似的内容 '' update aTable set someColumn='JackedUpValue' where someColumn like ' 然后，当您将所有这些放在一起并

由于trim函数删除了空间，它是否解决了sql注入的问题？如果没有，是否有人可以发布一个示例。

否，添加修剪不会阻止sql注入。修剪只会删除字符串外部的空间

Select * from aTable where name like '%'+@SearchString+'%'

如果您@SearchString持有类似的内容

'' update aTable set someColumn='JackedUpValue' where someColumn like '

然后，当您将所有这些放在一起并动态执行时，您将得到

Select * from aTable where name like '%' update aTable set someColumn='JackedUpValue' where someColumn like '%'

您可以在@SearchString上修剪100次，并且完全不更改其值。

为了避免Sql注入，请使用以下命令：

准备陈述存储过程您的应用程序将非常安全

如需进一步详细和专家分析，请搜索谷歌。

这里有一个链接，可以让您了解一个开始

请谷歌SQL注入示例为什么您认为空格与SQL注入有关？最肯定的是，不是。它只删除了前导空格和尾随空格。我想不出任何机智的答案。哦，等等…@ChenErnest你能举个例子说明修剪是如何防止SQL注入的吗？