Использование страницы asp, чтобы установить флаги для SQL или любой способ избежать внедрения SQL - PullRequest
0 голосов
/ 23 сентября 2011

Мне было интересно, можно ли иметь мои флаги asp code set для моей базы данных sql? Хотя, если у вас есть лучшее предложение о том, что нужно сделать, чтобы избежать SQL-инъекции через адресную строку, я тоже приму это.

Ответы [ 2 ]

2 голосов
/ 23 сентября 2011

Основные шаги для предотвращения атак с использованием SQL-инъекций:

  1. Параметризация ваших запросов;то есть выполните следующие действия:

    вставьте в таблицы (столбец, столбец2, столбец) значения (?,?,?)

    и ваш код передаст параметры в запрос.

  2. Используйте хранимые процедуры, если можете, и хорошо подходите к вашей ситуации (с одной оговоркой - 3-й пункт ниже).

  3. Если вы используете сохраненные процедуры, не используйтединамический SQL внутри них или это снова подвергнет вас атакам SQL-инъекций.Под этим я подразумеваю избегать объединения строк внутри хранимого процесса для создания ваших операторов.
  4. Проверка ввода данных пользователем (как на клиентской, так и на 1018 * и стороне сервера - никогда не доверяйте проверке JavaScript)1020 *

Я думаю, что выполнение этих 4 пунктов сделает ваше приложение невосприимчивым к атакам SQL-инъекций.

Я рекомендую вам также прочитать статью, опубликованную jdavies ниже.Это дает дополнительную полезную информацию.

1 голос
/ 23 сентября 2011

Взгляните на следующую статью Microsoft, в которой подробно рассматриваются все, что вам нужно, для различных стратегий доступа к данным.

Как: защитить от SQL-инъекций в ASP.NET

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...