2023年7月20日
NET EF 参数化查询(LIKE / IN)
摘要: 原始数据: 1.拼接SQL:容易注入 2.参数化查询: 2.1.等于 + Like: 2.2.等于 + Like + IN: 2.2.1.结果:类似的参数传递,但是结果为0 2.2.2.分析:通过SQL Server Profile得到运行sql,发现 IN 的参数被处理成了一个字符串,类似于: W 阅读全文
posted @ 2023-07-20 13:33 Robot-Blog 阅读(211) 评论(0) 推荐(0) 编辑