通用分页存储过程真的有注入漏洞吗2011-10-14 博客园 姜敏今天看了两篇关于存储过程SQL注入漏洞的文章:1):如此高效通用的分页存储过程是带有sql注入漏洞的2):防SQL注入:生成参数化的通用分页查询语句怎么看怎么觉的别扭,在我印象中存储过程是不会存在注入漏洞的啊?起码我目前的水平还不了解如何 注入存储过程。如果大家有注入的方法请指教。换句话说存储过程本身并无注入漏洞,只不过有漏洞大多 都是因为程序漏洞导致。我们来简化下之前两位园友讨论的分页存储过程,原代码太长,我这里呢写一个针对一个单表查询的存 储过程。创建一个用户表,表结构如下:有三个字段,人员ID,姓名字段。CREATE TABLE [dbo].[person]( [id] [int] NULL, [last_name] [varchar](30) COLLATE Chinese_PRC_CI_AS NULL, [first_name] [varchar](30) COLLATE Chinese_PRC_CI_AS NULL ) ON [PRIMARY]然后写一个查询存储过程(getPerson):作用,根据不同的条件读取用户信息。IF ( EXISTS ( SELECT * FROM sysobjects WHERE id = OBJECT_ID(N"[dbo].[getPerson]") AND OBJECTPROPERTY(id, N"IsProcedure") = 1 ) ) BEGIN DROP PROCEDURE [dbo]. [getPerson] END Go CREATE PROC getPerson @strWhere VARCHAR(100) = "" -- 查询条件 (注意: 不要加 where) AS BEGIN DECLARE @strSQL VARCHAR(1000) -- 主语句 SET @strSQL = "select top 10 * from person where 1=1 " --如果存在条 件,则加上 IF @strWhere != "" BEGIN SET @strSQL = @strSQL + @strWhere END PRINT ( @strSQL ) EXEC ( @strSQL ) END
易网时代-编程资源站