我需要一个sql server工具,它具有与greensql类似的功能(SQL注入保护)。 Greensql website
答案 0 :(得分:4)
与sql server通信的大多数客户端平台都支持查询参数。因此,您将使用占位符(变量名称)向服务器发送一个命令,其值如下所示:
SELECT columns FROM [table] WHERE ID= @SomeParameter
客户端代码会将@SomeParameter的值与实际的sql代码分开发送,并且它的设置类似于tsql中的变量,因此它永远直接替换为查询字符串。数据是数据,代码是代码,两者不应混合。
你可以在那里放任何你想要的东西,无论你尝试什么,都不会被作为代码执行。它不会发生。这是更好而不是清理审计,因为您永远不必担心解析器中的错误,当下一版本的Sql Server添加一个破坏旧解析器的新功能或者您的sanitzer时会发生什么是错误的查询。
因此,如果您正确构建应用程序,那么在SQL Server中并不需要这样的产品。现在,这种产品有可能强制开发人员使用好的程序(或者只是在他们做错的时候充当背景层),但在我看来它会最好是把精力放在首先做好准备。
另一方面,审计功能对我来说更有趣。 CTO可以将此产品放在DB服务器和DBA之间。 DBA仍然可以完全访问服务器,但是CTO可以通过审计它们无法覆盖其轨道的方式。
将'audit'与sql server结合使用而不是'注入'作为google中的搜索向量现在出现了一些产品,包括这个产品:
http://www.enforcive.com/