是否生成ActiveRecord/nHibernate SQL“;“安全”吗;?
我正在做这个系统,我正在创建搜索功能。在这个过程中,我突然想到也许AR/nHibernate表达式。比如(和兄弟姐妹)可能不是100%安全的,因为你可以创建这样的东西; “\r\n删除数据库xxx;--”和类似的内容…?”是否生成ActiveRecord/nHibernate SQL“;“安全”吗;?,sql,nhibernate,sql-injection,castle-activerecord,Sql,Nhibernate,Sql Injection,Castle Activerecord,我正在做这个系统,我正在创建搜索功能。在这个过程中,我突然想到也许AR/nHibernate表达式。比如(和兄弟姐妹)可能不是100%安全的,因为你可以创建这样的东西; “\r\n删除数据库xxx;--”和类似的内容…?” 我希望他们是安全的,但我不确定…如果你发现了安全漏洞,你一定要把它归档。很多人都依赖这些东西。如果你发现了一个安全漏洞,你一定要把它归档。许多都依赖于这些东西。NHibernate(扩展为ActiveRecord)生成参数化SQL语句,其形式为sp_executesql“从表
我希望他们是安全的,但我不确定…如果你发现了安全漏洞,你一定要把它归档。很多人都依赖这些东西。如果你发现了一个安全漏洞,你一定要把它归档。许多都依赖于这些东西。NHibernate(扩展为ActiveRecord)生成参数化SQL语句,其形式为
sp_executesql“从表中选择blah,其中列=@p1',“@p1 varchar(10)”,@p1=”drop database xxx;--”代码>用于查询。这些类型的SQL语句不会被SQL注入,因为参数的内容不会被执行(这与使用简单连接时的情况不同)
所以是的,两者都是“安全的”。NHibernate(扩展为ActiveRecord)生成参数化SQL语句,其形式为sp_executesql'select blah from table where column=@p1','@p1 varchar(10)',@p1='drop database xxx;--'代码>用于查询。这些类型的SQL语句不会被SQL注入,因为参数的内容不会被执行(这与使用简单连接时的情况不同)
所以是的,两者都是“安全的”