0

我需要防止用户输入可能导致数据库故障的字符。我正在为报告使用存储过程。为此,我需要验证文本框参数。任何人请指导我如何做到这一点。

4

1 回答 1

1
  • 尽可能限制对报告的访问
  • 使用受限的 SQL Server 报告帐户,该帐户仅对其所需的表具有受限的只读访问权限
  • 在合理的情况下,将用户选择限制为下拉列表
  • 如果将报告包装在 c# 等编程语言中,则可以在输入和参数化查询上使用验证器。
  • 如果您将 ssrs 参数直接传递给您的存储过程并担心可能发生文本注入,请在使用之前传递 SQL 中意外模式的参数,即可以检查具有“A3290RE”预期格式的用户 ID 是否有包含 CONTAINS 和使用 LEN 验证长度以防止用户输入"A3290RE ' 或类似 '%a%" 的名称
于 2012-11-23T12:10:36.277 回答