高考问答姓支的女明星:我的存储过程能被注入攻击么?
来源:百度文库 编辑:高考问答 时间:2024/05/03 12:26:36
CREATE PROCEDURE proc_test
@sqlStr varchar(350)
AS
declare @test nvarchar(350)
set @test = @sqlStr
exec sp_EXECUTESQL @test
GO
我写了一个这样的存储过程
用的时候往里面穿入已经拼好的sql语句
比如exec proc_test 'SELECT * from user'
不知道这样是否会被注入攻击
高手们帮我看看啦
如果能的话最好给个例子
@sqlStr varchar(350)
AS
declare @test nvarchar(350)
set @test = @sqlStr
exec sp_EXECUTESQL @test
GO
我写了一个这样的存储过程
用的时候往里面穿入已经拼好的sql语句
比如exec proc_test 'SELECT * from user'
不知道这样是否会被注入攻击
高手们帮我看看啦
如果能的话最好给个例子
用这句可得到数据库中表的列表
exec proc_test 'select * from t1 where 1<>1;select * from sysobjects'