文章/答案/技术大牛

发布

社区首页 >问答首页 >为什么SQL注入不起作用？

问为什么SQL注入不起作用？
EN

Stack Overflow用户

提问于 2016-12-13 06:36:34

回答 3查看 319关注 0票数 0

DECLARE @a varchar(max);
set @a ='''a'' OR Name like ''%a'';';

--Why the below query not working
Select TOP 10 * FROM Member where Name = @a

-- The query below was executed to make sure that the query above 
   being constructed properly
print 'SQL: Select TOP 10 * FROM Member where Name ='+ @a
--SQL: Select TOP 10 * FROM Member where Name ='a' OR Name like '%a';

如果我错了，SQL注入在存储过程中不能工作是由于一些预编译的因素，但是上面的场景是用查询语句而不是存储过程来测试的。为什么还不起作用？

sql-injection

sql

sql-server

回答 3

Stack Overflow用户

回答已采纳

发布于 2016-12-13 07:42:19

当数据被混淆并解释为代码时，就会发生SQL注入。

这种情况在您的场景中不会发生，因为参数或变量值不会被直接解释为代码--如果您通过组合字符串和这些参数/变量值来构造新代码，然后将整个构造的字符串传递给系统，并要求它将整个字符串解释为代码--通过exec、sp_executesql或其他类似方法，它们才有被解释为代码的风险。

票数 1

Stack Overflow用户

发布于 2016-12-13 06:57:47

我不知道你为什么认为那会起作用。@a是一个varchar变量，因此Select TOP 10 * FROM Member where Name = @a查找Name等于该变量值的行。

如果希望Server将@a的值作为代码插入查询中，则需要使用sp_executesql (类似于Bash、Python等语言中的eval )：

EXECUTE sp_executesql 'Select TOP 10 * FROM Member where Name = ' + @a

票数 4

Stack Overflow用户

发布于 2016-12-13 06:39:55

看，没有以a结尾的名字。试着像

Select TOP 10 * FROM Member where Name ='a' OR Name like '%a%'

更新的

Microsoft处理SQL参数的SQL注入。

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/41114982

复制

相似问题

问为什么SQL注入不起作用？
EN

回答 3

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问为什么SQL注入不起作用？EN

回答 3

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问为什么SQL注入不起作用？
EN