предотвратить инъекцию sql

Question

Есть ли способ предотвратить внедрение SQL с помощью хранимых процедур?

У меня есть запрос SQL как

select column name from table where field ='@value'
cmd.parameters.add('@value', value);

Я использую параметризованные запросы с наименьшими привилегиями.Как я могу написать основную хранимую процедуру, чтобы предотвратить инъекцию SQL.Это возможно?

Answer 1

 select column name from table where field =@value

 cmd.parameters.add('@value', value);

Параметры SQL позволяют избежать проблемы внедрения SQL.

Вам просто нужно изменить условие = с помощью параметра.проверьте вышеуказанный запрос.

Answer 2

Насколько мне известно, использование одних только параметризованных запросов должно предотвратить атаки SQL-инъекций.

Answer 3

Если вы используете параметризованные запросы, вам не нужны кавычки вокруг @value (@value вместо '@value'), если параметр @value определен как строка.

Создание хранимой процедуры работает аналогичным образом. @value будет определяться как VARCHAR или что-то подобное, и поэтому будет принимать только строки. Затем вы ссылаетесь на @value вместо '@value' в хранимой процедуре.

CREATE PROCEDURE my_proc (IN @value VARCHAR(32))
BEGIN
  SELECT column name FROM table WHERE field = @value
END

Answer 4

C #

   cmd.parameters.Add("?value", value);

устарела

чтобы обновить для @Yogesh Bhadauirya,

   cmd.Parameters.AddWithValue("?value", value);