Я нахожусь на стадии планирования веб-приложения на базе Microsoft ASP.NET / SQL Server 2008 и, размышляя о разработке базы данных, я начал думать о инъекционных атаках и о том, какие стратегии мне следует использовать для смягчения базы данных как вектора для инъекционных атак.
Я слышал из разных источников, что использование хранимых процедур повышает безопасность, я также читал, что они одинаково заразительны, если они все еще используются с динамическим SQL, поскольку это представляет точку внедрения
Вопрос
Можно ли использовать параметризованный запрос внутри хранимой процедуры? Я думаю, что если я передам аргументы хранимой процедуре в подготовленный оператор, ядро базы данных очистит эти аргументы для меня.