标签: sql-server security sql-injection
有人可以共享任何非参数化的SQL查询验证以防止注入攻击。我在applet中使用供应商Rhino JS API来传递查询,我必须使用臭名昭着的+""+ concats动态构建我的查询。虽然我的函数只会被不直接来自用户的数据的开发人员使用,但我想添加一些基本的验证。我确实列出了here列出的一些转义和白名单方法,但是有人实现了这些并且分享了一些想法。它用于SQL服务器。
+""+
答案 0 :(得分:1)
来自Microsoft's developer network:
永远不要直接从用户输入构建Transact-SQL语句。
而是使用类型安全的参数。