我需要一次性将多行数据(1000行)插入到SQL Server数据库中。我认为最好的方法是使用
请问您能帮我吗?最佳的方法是什么以执行多个插入语句(防止SQL注入攻击)?
谢谢。
SqlBulkCopy,但我不确定如何参数化插入查询以免受SQL注入攻击。请问您能帮我吗?最佳的方法是什么以执行多个插入语句(防止SQL注入攻击)?
谢谢。
SqlBulkCopy和防止SQL注入攻击
6
- user2980426
3
SqlBulkCopy是一个.NET类,用于管理从一个数据源到另一个数据源的传输。Bulk Insert是SQL Server的一个功能。两者都没有注入攻击的问题,并且都是插入大量行的好方法。这不是请求教程的地方,请展示您尝试过的内容以及遇到的问题。 - Gary Walker
谢谢你的回答。我不需要教程。我有很多行(用户输入)。例如,我有1000行。我需要使用最佳方法将所有用户定义的行插入到MS SQL Server数据库中。我可以为每一行定义SqlCommand和sql参数,但这很慢。我只是不知道SqlBulkCopy是否在内部使用SqlParameter,还是我必须使用自己的SQL注入保护。非常感谢。 - user2980426
S/O 不赞成观点问题,例如,“什么是最好的方法...”如所询问的,您基本上在询问如何避免 SQL 注入攻击。批量插入方法是注入安全的,因为它们不依赖于生成 SQL。您可以查看以前类似的答案。https://dev59.com/G3E85IYBdhLWcg3wwWat 或查找其他教程并展示您尝试过的内容和遇到的问题。 - Gary Walker
2个回答
3
插入多行的最佳方式是使用SqlBulkCopy。
SqlBulkCopy类已经安全免于SQL注入攻击,所以您不必担心这个问题。
- Jonathan Magnan
0
我在多个场合使用过这个解决方案来进行多次插入:http://www.sqlteam.com/article/sql-server-2008-table-valued-parameters
请注意,对于表值类型,SQL服务器安全性存在问题。您需要使用一种奇怪的语法来设置它们:
grant execute on TYPE::dbo.tableType to role_or_user
- Jim
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接