Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas tworzenia aplikacji, która uzyskuje dostęp do danych, należy założyć, że wszystkie dane wejściowe użytkownika będą złośliwe, dopóki nie zostaną sprawdzone inaczej. Niepowodzenie w tym celu może pozostawić aplikację podatną na ataki. Jednym z typów ataków, które mogą wystąpić, jest wstrzyknięcie kodu SQL. Atak ten polega na dodaniu złośliwego kodu do ciągów, które są przekazywane do instancji serwera SQL, aby zostać przeanalizowane i uruchomione. Aby uniknąć tego typu ataku, należy używać procedur składowanych z parametrami tam, gdzie to możliwe, i zawsze weryfikować dane wejściowe użytkownika.
Weryfikowanie danych wejściowych użytkownika w kodzie klienta jest ważne, aby uniknąć zbędnych wywołań do serwera. Równie ważne jest zweryfikowanie parametrów procedur składowanych na serwerze. Dzięki temu przechwytywane są dane wejściowe, które omijają weryfikację po stronie klienta.
Aby uzyskać więcej informacji na temat iniekcji SQL i sposobu jego uniknięcia, zobacz Iniekcja SQL. Aby uzyskać więcej informacji na temat sprawdzania poprawności parametrów procedury składowanej, zobacz Procedury składowane i powiązane artykuły.