验证非paremetrized sql查询中的sql查询是否存在安全问题

时间:2016-04-11 14:35:14

标签: sql-server security sql-injection

有人可以共享任何非参数化的SQL查询验证以防止注入攻击。我在applet中使用供应商Rhino JS API来传递查询,我必须使用臭名昭着的+""+ concats动态构建我的查询。虽然我的函数只会被不直接来自用户的数据的开发人员使用,但我想添加一些基本的验证。我确实列出了here列出的一些转义和白名单方法,但是有人实现了这些并且分享了一些想法。它用于SQL服务器。

1 个答案:

答案 0 :(得分:1)

来自Microsoft's developer network

  

永远不要直接从用户输入构建Transact-SQL语句。

而是使用类型安全的参数。