准备好的语句和存储过程一起使用

发布于 2024-09-16 05:25:06 字数 284 浏览 14 评论 0原文

我正处于基于 Microsoft ASP.NET / SQL Server 2008 的 Web 应用程序的规划阶段,在考虑数据库设计时,我开始考虑注入攻击以及应该采用哪些策略来减轻数据库作为注入攻击的载体。

我从各种来源听说使用存储过程可以提高安全性,我还了解到,如果它们仍然与动态 SQL 一起使用,它们同样具有传染性,因为这会带来注入点

问题

是否可以在存储过程中使用参数化查询?我的想法是,如果我将存储过程的参数传递到准备好的语句中,数据库引擎将为我清理这些参数。

I'm in the planning stages of a Microsoft ASP.NET / SQL Server 2008 based web application and In thinking about database design, I began to think about injection attacks and what strategies I should employ to mitigate the database as a vector for injection attacks.

I've heard from various sources that using stored procedures increases safety, I have also read that these are equally as infective if they are still used with dynamic SQL as this presents an injection point

Question

Is it possible to use a Parametrized Query inside a stored procedure? My thinking is that if I pass the arguments to the stored procedure into the prepared statement the database engine will sanitize those arguments for me.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

装迷糊 2024-09-23 05:25:06

是的,您可以在存储过程中传递参数化查询。
但它认为它不会在程序中使用执行计划
据我所知,工作速度很慢。

Yes you can pass Parametrized query inside a store procedure.
but it think it will not use execution plan in the procedure
and work slow as per my knowledge.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文