Метод фильтра SQL-инъекций для ASP.NET

Question

У меня есть поля, которые имеют произвольную форму и допускают любую комбинацию цифр / символов. Какой лучший способ проверить их, чтобы предотвратить SQL-инъекцию? Могу ли я запустить простую замену отметок? Есть ли способ, который я могу подключить, чтобы использовать?

Answer 1

Просто используйте параметризованные запросы! Проверьте эту статью здесь: http://www.functionx.com/aspnet/sqlserver/parameterized.htm

Answer 2

Здесь описаны различные методы: Как: защитить от внедрения SQL в ASP.NET

цитата:

Контрмеры включают использование списка допустимых символов для ограничения ввода, использование параметризованного SQL для доступа к данным и использование учетной записи с минимальными привилегиями, для которой ограничены разрешения в базе данных. Рекомендуется использовать хранимые процедуры с параметризованным SQL, поскольку параметры SQL безопасны по типу. Безопасные по типу параметры SQL также можно использовать с динамическим SQL. В ситуациях, когда параметризованный SQL нельзя использовать, рассмотрите возможность использования методов экранирования символов.

Могут помочь средства проверки, хотя они запускаются на стороне сервера, а не на стороне клиента. ASP.NET также имеет встроенную защиту, но я бы не стал полагаться только на нее.