正则表达式可以用来防止SQL注入吗？

Question

在我问之前，我确实知道一些疑神疑鬼的查询，但是这个问题是专门用来防止SQL注入的baout正则表达式。

假设我有一个带有q参数的查询字符串，并且我有一个^201[0-9]Q[0-9]$的正则表达式，它是针对传递到SQL的参数运行的。

这是否足以作为保护措施，还是无论如何都可以加以利用？一些伪代码：

 if NOT validateToken(quarter) then
     sql = "EXEC dbo.spTest '"&quarter&"'"
 end if

谢谢

Answer 1

在您的例子中，是的，检查足以防止SQL注入。您正在进行的检查类型是处理用户输入时所需的检查。

因此，根据经验，您不应该连接用户提供的数据和SQL代码，除非，您对参数的内容提供了全面的检查。

等等！您是在.Net还是在SQL中检查参数？如果在.Net，你是安全的。如果不安全的代码进入SQL，那么您就彻底失败了。