我正处于基于 Microsoft ASP.NET / SQL Server 2008 的 Web 应用程序的规划阶段,在考虑数据库设计时,我开始考虑注入攻击以及我应该采用哪些策略来缓解数据库作为注入攻击的载体.
我从各种来源听说使用存储过程可以提高安全性,我还读到如果它们仍然与动态 SQL 一起使用,它们同样具有感染性,因为这会提供一个注入点
问题
是否可以在存储过程中使用参数化查询?我的想法是,如果我将存储过程的参数传递到准备好的语句中,数据库引擎将为我清理这些参数。
问问题
400 次