验证用户输入
当您构造访问数据的应用程序时,应假定所有用户输入在获得验证之前都是恶意的。 如果未能实现此目的,则可能会使您的应用程序易于受到攻击。 可能发生的一种类型的攻击称作 SQL 注入。 在此攻击中,恶意代码被添加到字符串中,这些字符串被传递到 SQL Server 的实例中以进行分析和运行。 为了避免这种类型的攻击,应尽可能使用带参数的存储过程,并始终验证用户输入。
在客户端代码中验证用户输入是非常重要的,这样就无需浪费时间往返服务器。 在服务器上验证存储过程的参数同样非常重要。 这样做会捕获绕过客户端验证的输入。
有关 SQL 注入和如何避免此攻击的详细信息,请参阅 SQL 注入。 有关验证存储过程参数的详细信息,请参阅存储过程以及相关文章。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈