使用 asp 页面为 sql 设置标志或任何避免 sql 注入的方法

Question

我想知道是否可以让我的 asp 代码为我的 sql 数据库设置标志？不过，如果您对如何避免通过地址栏进行 sql 注入有更好的建议，我也会采纳。

Answer 1

防止 SQL 注入攻击的基本步骤是：

1. 参数化您的查询；也就是说，做这样的事情：

   插入表（列、列2、列）值（?,?,?）

   并让您的代码将参数传递给查询。

2. 如果可以的话，请使用存储过程，并且适合您的情况（有一个警告 - 下面的第 3 点）。

3. 如果您使用存储过程，请不要在其中使用动态 SQL，否则您将再次遭受 SQL 注入攻击。我的意思是避免在存储过程中连接字符串来构造语句。
4. 验证用户输入（客户端和服务器端 - 永远不要相信 javascript 验证）

我认为遵循这 4 点将使您的应用程序免受 SQL 注入攻击。

我建议您还阅读下面 jdavies 发表的文章。它提供了一些额外的有用信息。

Answer 2

请查看以下 Microsoft 文章，其中深入讨论了您的需求以及不同的数据访问策略。

如何：防止 ASP.NET 中的 SQL 注入