sql注入的问题

2回答

12345678_0001

黑客的手段有时是令人瞠目结舌的，虽然乍看上去你的下拉选项是预定好的，不会发生用户代码注入，但谁知道下拉项会不会被篡改。为了绝对安全也罢，为了养成良好习惯也罢，建议兄弟还是保险起见统统用 SqlParameter 的形式加入参数。或许可以试验一下：有个可以脚本注入的漏洞，通过此漏洞更改下拉框的选项，然后通过提交下拉框的当前值完成 sql 注入。期待专家的解答，关注一下。

0

0

0

互换的青春

很明显可以的，首先你的参数全是来自于客户端的HTTP请求，那么自然可以伪造一个HTTP请求来达到注入的目的，因此还是用Parameter吧

0

0

0