У меня есть очень простая хранимая процедура, которая генерирует следующую последовательность как часть простого решения Auto Number.
Процедура хранения SQL:
CREATE PROCEDURE [dbo].[NextAutoNumber]
@Key varchar(100),
@UserId varchar(50),
@Return bigint output
AS
BEGIN
SET NOCOUNT ON;
DECLARE @cmd NVARCHAR(1000)
IF (NOT EXISTS (SELECT * FROM sys.sequences WHERE name = @Key))
BEGIN
--CREATE SEQUENCE FOR NEW ENTITY
EXEC('CREATE SEQUENCE [dbo].' + @Key + ' AS BIGINT START WITH 1 INCREMENT BY 1 NO CYCLE')
END
SET @cmd = 'SET @Return = (NEXT VALUE FOR ' + @Key + ')'
EXEC sp_executesql @cmd, N'@Return int output', @Return output;
END
GO
Я вызываю эту хранимую процедуру из веб-службы, как показано ниже.
using (var conn = new SqlConnection(_connectionString))
using (var cmd = new SqlCommand("NextAutoNumber", conn))
{
cmd.CommandType = CommandType.StoredProcedure;
if (conn.State == System.Data.ConnectionState.Closed)
conn.Open();
cmd.Parameters.Add(new SqlParameter("@Key", SqlDbType.Text)
{
Value = key,
Direction = ParameterDirection.Input
});
cmd.Parameters.Add(new SqlParameter("@UserId", SqlDbType.Text)
{
Value = userId,
Direction = ParameterDirection.Input
});
cmd.Parameters.Add(new SqlParameter("@Return", SqlDbType.BigInt) { Direction = ParameterDirection.Output });
cmd.ExecuteNonQuery();
return (long)cmd.Parameters["@Return"].Value;
}
Теперь они сообщили, что это подвержено атакам SQL-инъекций.Любые идеи о том, как изменить это, чтобы предотвратить внедрение SQL?
Я рассмотрел следующие варианты - например, использование параметризованного запроса, но мои навыки SQL довольно просты!