因为Sql injection 攻击利用的是网站中动态执行的sql语句比如通过字符串连接生成并直接执行的sql语句,或者通过EXEC或sp_execute执行的存储过程。但DNN主程序避开了这些弱点,只使用带参数的存储过程,所以DNN主程序不会受Sql Injection的影响。
其它的一些参考链接:
<a target="_blank" href="http://www.dotnetnuke.com/Community/Blogs/tabid/825/EntryID/1930/Default.aspx">http://www.dotnetnuke.com/Community/Blogs/tabid/825/EntryID/1930/Default.aspx</a>
<a href="http://www.hanselman.com/blog/HackedAndIDidntLikeItURLScanIsStepZero.aspx">http://www.hanselman.com/blog/HackedAndIDidntLikeItURLScanIsStepZero.aspx</a>
<a target="_blank" href="http://twitter.com/scarpenter">http://twitter.com/scarpenter</a>
![JDBC连接数据库(statement)[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)