私はデータベースにテキスト行を保存する既存のストアドプロシージャに接続する必要があります。 今私はspを見て、それは連結された文字列(テキストが置かれている)であり、それはexec(@sql)
で実行されます。SQLインジェクションを避けるためにexec SQLに代わるものはSP_EXECUTESQLですか?
テキストは公開されているWebサイトからのものであるため、SQLインジェクションが可能でないことを確認する必要があります。
データベースの人はSQLインジェクションについて聞いたことがないので、何をすべきかわからないが、私のアプリケーションからリスクを暴露したくないので、私は予防するために何ができるのか知りたい。 SQLインジェクション私はしかし、SQLの男よりもプログラマです。
今、私は'SP_EXECUTESQL(@SQL)'
ストアドプロシージャを見つけました。これはSQLインジェクションを防ぐのに役立つのですか、それとも悪意のある呼び出しを行うことは可能ですか?
私を助けてくれてありがとうございます。
私たちにSQL文を公開する可能性はありますか?すでにパラメータを使用している場合は、おそらく安全です。 –
それは、SQLの男は簡単に通常のストアドプロシージャによってexec(@ SQL)を置き換えることが判明した。 – Michel