【发布时间】:2010-08-30 10:08:05
【问题描述】:
我正处于基于 Microsoft ASP.NET / SQL Server 2008 的 Web 应用程序的规划阶段,在考虑数据库设计时,我开始考虑注入攻击以及我应该采用哪些策略来减轻数据库作为向量的影响用于注入攻击。
我从各种渠道听说使用存储过程可以提高安全性,我还读到如果它们仍然与动态 SQL 一起使用,它们同样具有感染性,因为这会提供一个注入点
问题
是否可以在存储过程中使用参数化查询?我的想法是,如果我将存储过程的参数传递到准备好的语句中,数据库引擎将为我清理这些参数。
【问题讨论】:
标签: sql-server stored-procedures sql-server-2008-express parameterized-query