我正处于基于Microsoft ASP.NET / SQL Server 2008的Web应用程序的规划阶段。在考虑数据库设计时,我开始考虑注入攻击以及我应采用哪些策略来缓解数据库作为向量用于注射攻击。
我从各种消息来源获悉,使用存储过程可以提高安全性,我还读到,如果它们仍然与动态SQL一起使用,它们同样具有感染性,因为它提供了一个注入点
问题
是否可以在存储过程中使用参数化查询?我的想法是,如果我将存储过程的参数传递给预准备语句,数据库引擎将为我清理这些参数。
答案 0 :(得分:0)
是的,您可以在商店过程中传递参数化查询。 但它认为它不会在程序中使用执行计划 据我所知,工作很慢。