Question

У меня есть запрос, который возвращает значение поля, отправленного через параметр:

@Field nvarchar(50),
@ID int
...

execute('SELECT ' + @Field + ' from SampleTable where (ID=' + @ID + ');');

Я делаю это, чтобы иметь один SP вместо нескольких SP с одинаковой структурой. Теперь я не уверен, безопасно это или нет?

Mikael Eriksson · Answer 1 · 05 февраля 2012

Для безопасности используйте sp_executesql и quotename .

declare @SQL nvarchar(max)
set @SQL = 'select '+quotename(@Field)+' from SampleTable where ID = @ID'
exec sp_executesql @SQL, N'@ID int', @ID

seahorse · Answer 2 · 05 февраля 2012

Запрос не является безопасным.

Клиент, использующий веб-систему, может удалить всю базу данных с помощью атаки с использованием SQL-инъекций мимоходом '; DROP DATABASE dbname - вместо id. Если вы планируете использовать вышеупомянутый запрос, используйте параметризованную хранимую процедуру SQL для предотвращения атак с использованием SQL-инъекций.

Подробнее ниже: -

Как защитить от атак SQL-инъекций в ASP .NET

Каковы проблемы безопасности этого SP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Каковы проблемы безопасности этого SP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов