共用方式為


驗證使用者輸入

下載 JDBC 驅動程式

當您建構存取資料的應用程式時,您應該假設所有使用者輸入都是惡意的,直到經過證明為止。 否則應用程式可能容易遭到攻擊。 可能發生的一種攻擊名為 SQL 插入。 在此攻擊中,會將惡意程式碼新增至字串,並將這些字串傳遞至 SQL Server 的執行個體進行剖析及執行。 若要避免這類型的攻擊,您應該搭配參數 (如有可能) 使用預存程序,並永遠驗證使用者輸入。

在用戶端程式碼中驗證使用者輸入相當重要,如此您不會浪費與伺服器的往返。 驗證服務器上預存程序的參數同樣重要。 如此一來,輸入就會遭到攔截,以略過用戶端驗證。

如需 SQL 插入式攻擊以及如何避免 SQL 插入式攻擊的詳細資訊,請參閱<SQL 插入式攻擊>。 如需有關驗證預存程序參數的詳細資訊,請參閱<預存程序>和相關文章。

另請參閱

保護 JDBC 驅動程式應用程式