我们的团队最近一直在为我们的数据库开发逻辑和数据层。我们未被批准为数据层使用Entity或Linq to SQL。它主要是手工制作的。很多SQL都是自动生成的。显而易见的是,需要在检索和插入之前对输入进行消毒。
这样做的最佳方法是什么?搜索插入,删除等术语似乎是一种很难实现的方法。还有更好的选择吗?
答案 0 :(得分:2)
一般来说卫生的最佳方式就是像人类肾脏一样工作 - 默认拒绝一切,挑选出你知道的好/安全的东西。
我假设您已经使用带有外部输入的所有SQL查询的参数。
通常,良好的做法是尽可能在尽可能接近UI的情况下清理输入。