【发布时间】:2012-05-22 07:27:59
【问题描述】:
我正在尝试允许用户将 CSV 文件上传到我的数据库。我想知道 MySqlBulkLoader 是否可以防止 SQL 注入?
如果不是,解析文件并删除任何 sql 注入代码的最佳方法是什么?
提前致谢。
【问题讨论】:
标签: asp.net mysql security sql-injection bulkinsert
【发布时间】:2012-05-22 07:27:59
【问题描述】:
使用 MySQLBulkLoader 类时无需担心 SQL 注入:该类只是调用 LOAD DATA INFILE 语句来处理 CSV 文件,它实际上不会执行来自 CSV 文件的任何查询。请参阅“使用 MySqlBulkLoader 类”中的 MySQL docs。
【讨论】:
-
通过使用 MysqlBulkLoader 用户是否有可能读取 MySQL 服务器上的其他文件?
-
如果您的上传脚本设计得很好,则不会。该类本身不会随机访问服务器上的其他文件,因此您需要做的就是确保您的代码非常清楚它需要读取哪个文件。所以只要确保你的代码只传递上传文件的名称,你应该很好。 (如果我的回答对您有帮助,如果您能接受,我将不胜感激。)