Ako používať sp_executesql pre boj proti SQL injekcie

uloženú procedúru SQL Server sp_executesql vykonáva dynamické príkazy SQL , ktoré vytvoríte v aplikácii . SQL injection je hack , ktorý umožňuje používateľom získať prístup k SQL databáze . Pomocou sp_executesql uložené procedúry spolu s funkciou " Nahradiť " nahradiť jeden znak ponuku , ktorá sa používa na spustenie škodlivého kódu na serveri . Pokyny dovolená 1

Kliknite na tlačidlo Windows " Štart " a vyberte " Všetky programy " . Kliknite na " SQL Server " kliknite na tlačidlo " SQL Server Management Studio " otvorte softvér .
2

Zadajte svoje užívateľské meno a heslo do log - in obrazovke SQL servera pre prístup k databázam servera . Kliknite na databázu , ktorú chcete , aby otázka a zvoľte " Nová otázka " otvorte editor .
3

Vytvorenie dynamické SQL dotazu . Nasledujúci kód vytvorí dynamické dotazu, ktorý obsahuje úvodzovky v rámci vyhlásenia :

vyhlásiť @ dotaz ako nvarchar ( 500 ) set @ query = " select názov od zákazníkov , kde signupdate = '' 01.01.2011 '' '

v tomto príklade by hacker vloženie citácie v " kde " klauzula , ktorá spôsobuje chyby v SQL dotaze .
4

Pomocou sp_executesql uložené procedúry s Nahradiť funkciu , aby sa zabránilo SQL injection . Zadajte nasledujúci kód do editora :

sp_executesql vymeňte ( @ dotaz , ' \\ '' , '' '' )

kód nahradí každý jeden citát s dvojitým citátom , ktorý eliminuje možnosť SQL injection .
5

Stlačením klávesu F5 na spustenie príkazu . SQL vykonáva a výsledky zobrazenie dotazu v paneli Výsledky .

• Predchádzajúca strana: T - SQL Dátum Porovnanie 
• Ďalšia strana: Ako sa zbaviť Ukončenie Prázdne SQL