Основные шаги для предотвращения атак с использованием SQL-инъекций:
Параметризация ваших запросов;то есть выполните следующие действия:
вставьте в таблицы (столбец, столбец2, столбец) значения (?,?,?)
и ваш код передаст параметры в запрос.
Используйте хранимые процедуры, если можете, и хорошо подходите к вашей ситуации (с одной оговоркой - 3-й пункт ниже).
- Если вы используете сохраненные процедуры, не используйтединамический SQL внутри них или это снова подвергнет вас атакам SQL-инъекций.Под этим я подразумеваю избегать объединения строк внутри хранимого процесса для создания ваших операторов.
- Проверка ввода данных пользователем (как на клиентской, так и на 1018 * и стороне сервера - никогда не доверяйте проверке JavaScript)1020 *
Я думаю, что выполнение этих 4 пунктов сделает ваше приложение невосприимчивым к атакам SQL-инъекций.
Я рекомендую вам также прочитать статью, опубликованную jdavies ниже.Это дает дополнительную полезную информацию.