SQL Server инъекция

Question

Новое в веб-разработке и освоении чьего-то кода. У них есть функция для предотвращения внедрения SQL, для базы данных SQL Server

function safe(val, maxsize)
   dim i,
   terms = array(
      "cast",
      "select",
      "varchar",
      "declare",
      "drop",
      ";",
      "--",
      "insert",
      "delete",
      "xp_"
   )
   val = left(val,maxsize)
   val = trim(val)
   for i = 0 to ubound(terms)
      val = replace(val, terms(i), "e_" & val & "_e", vbTextCompare)
   next
   val = replace(val, "'", "''")
   makesafe = val
end function

Не решается прикасаться к этому, но в этом что-то не хватает? Кажется, иногда они взламываются

Answer 1

следующая статья должна помочь:

http://tugberkugurlu.com/archive/sql-injection-vs-lethal-injection-protection-against-sql-injection

Не стоит идти по этому пути с string.Replace

Answer 2

Я бы не стал полагаться на такую ​​функцию для предотвращения атак с использованием SQL-инъекций. Параметризованные запросы являются обязательными. Есть почти наверняка некоторые инъекционные тексты, которые вы пропустите, используя подход, который вы перечислили.

Answer 3

Я бы полностью отказался от этой функции и начал бы использовать параметризованное утверждение, как упомянул Аарон в своем комментарии. Если вы еще этого не сделали, есть различные статьи о том, как это сделать. В статье, с которой я вас связал, посмотрите на шаг 2.