Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při vytváření aplikace, která přistupuje k datům, byste měli předpokládat, že veškerý uživatelský vstup bude škodlivý, dokud se neprokáže jinak. Pokud to neuděláte, může vaše aplikace být zranitelná vůči útokům. Jeden typ útoku, ke kterému může dojít, se nazývá injektáž SQL. Tento útok spočívá v tom, že se do řetězců přidává škodlivý kód, který je předán instanci SQL Serveru, aby byl analyzován a spuštěn. Abyste se vyhnuli tomuto typu útoku, měli byste použít uložené procedury s parametry, pokud je to možné, a vždy ověřit vstup uživatele.
Ověření vstupu uživatele v klientském kódu je důležité, aby se zabránilo zbytečnému odesílání požadavků na server. Stejně důležité je ověřit parametry uložených procedur na serveru. Tímto způsobem se zachytí vstup, který obchází ověřování na straně klienta.
Další informace o injektáži SQL a o tom, jak se tomu vyhnout, najdete v tématu Injektáž SQL. Další informace o ověřování parametrů uložené procedury naleznete v tématu Uložené procedury a související články.