Validando entrada do usuário
Quando você construir um aplicativo que acessa dados, deverá presumir que toda a entrada do usuário é mal-intencionada até que se prove o contrário. Se você não fizer isso, deixará o aplicativo vulnerável a ataques. Um tipo de ataque que pode ocorrer se chama injeção de SQL. Esse ataque ocorre quando o código mal-intencionado é adicionado a cadeias de caracteres que são transmitidas a uma instância do SQL Server para serem analisadas e executadas. Para evitar este tipo de ataque, use procedimentos armazenados com parâmetros onde for possível e sempre valide a entrada do usuário.
Validar a entrada de usuário no código do cliente é importante para que você não desperdice viagens de ida e volta ao servidor. É igualmente importante validar parâmetros para procedimentos armazenados no servidor. Dessa forma, a entrada é capturada e ignora a validação do lado do cliente.
Para obter mais informações sobre a injeção de SQL e como evitá-la, confira Injeção de SQL. Para obter mais informações sobre como validar parâmetros de procedimento armazenado, confira Procedimentos armazenados e os artigos relacionados.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de