Поиск инструмента для быстрого тестирования [закрытых] строк формата C#
Да, использование подготовленных операторов останавливает все инъекции SQL, по крайней мере теоретически. На практике параметризованные операторы могут быть не реальными подготовленными операциями, например. PDO в PHP имитирует их по умолчанию, поэтому открыт для атаки кромки кромки .
Если вы используете реальные подготовленные заявления, все в порядке. Ну, по крайней мере, до тех пор, пока вы не объединяете небезопасный SQL в свой запрос, как реакцию на невозможность подготовить имена таблиц, например.
Если да, почему еще так много успешных SQL-инъекции? Просто потому, что некоторые разработчики слишком глупы, чтобы использовать параметризованные утверждения?
blockquote>Да, здесь основное внимание уделяется образованию и устаревшим кодам. К сожалению, многие учебники используют экранирование, и, к сожалению, они не могут быть легко удалены из Интернета.
4 ответа
PowerShell работает отлично для тестирования строк формата. От PowerShell можно загрузить блок и работать с объектами и методами, которые Вы хотите протестировать. Вы могли также просто создать строку на командной строке и проверить различные параметры форматирования.
можно использовать статический метод от строкового класса:
$teststring = 'Currency - {0:c}. And a date - {1:ddd d MMM}. And a plain string - {2}'
[string]::Format($teststring, 160.45, Get-Date, 'Test String')
Или PowerShell имеет созданный в операторе
$teststring = 'Currency - {0:c}. And a date - {1:ddd d MMM}. And a plain string - {2}'
$teststring -f 160.45, Get-Date, 'Test String'
Компилятор Отрывка является большим инструментом в целом для быстрого тестирования небольшого приложения. Вместо того, чтобы создать помехи Вашей Visual Studio миллионом проектов ConsoleApplication79, просто используйте это. Я имею его и постоянно использую его.
<забастовка> Вы могли использовать Грубый плагин для Отражателя для выполнения небольших фрагментов кода.
Похож на ссылку, мертво - просто используют LinqPad!