هل SQL سيرفر 2008 الجدول معلمات الكرام عرضة لهجمات حقن SQL؟
-
07-07-2019 - |
سؤال
ولقد تم التحقيق معلمات لجدول ذات في SQL Server 2008 و لقد اكتشفت أنه عندما يمر مثل معلمة إلى الإجراء المخزن، استعلام مثل يتم إرسالها إلى خادم قاعدة البيانات ما يلي:
declare @p1 dbo.MyTypeName
insert into @p1 values(N'row1col1',N'row1col2')
insert into @p1 values(N'row2col1',N'row2col2')
insert into @p1 values(N'row3col1',N'row3col2')
insert into @p1 values(N'row4col1',N'row4col2')
insert into @p1 values(N'row5col1',N'row5col2')
exec StoredProcedureName @MyParam=@p1
وهو، كيفية تأمين ضد هجمات حقن SQL وهذا، بالنظر إلى أن ادخال البيانات ليست معلمات سؤالي؟ حاولت الهجوم أتفه ضدها، وكان هرب نقلت بشكل صحيح، ولكن أي شخص تشغيل اختبار شامل، أم أن هناك شيئا آخر يحدث هنا من شأنه أن يحميني؟
المحلول
وأنت لا داعي للقلق بشأن هجمات حقن SQL مع TVPs.
<اقتباس فقرة>وهذا يبدو وكأنه مجموعة من المفرد يدعو لكنها ليست كذلك. كما بلدي colleage كيث إلمور في مايكروسوفت CSS أشار بها، وهذا هو مجرد اصطلاح يستخدم للسماح البيانات ليتم عرضها أو نسخ / لصق إطار استعلام و يركض. وTVP ليست في الواقع تنفذ بهذه الطريقة، كانت الصفوف عبرها تماما مثل معظم إدراج ولكن قد أدت إلى هذا الانطباع بأن يفعل بسيط تدرج.
اقتباس فقرة>المصدر: <لأ href = "http://blogs.msdn.com/mikecha/archive/2009/08/07/two-fast-ways-to-bulk-insert-client-generated-data-to- SQL-database.aspx "يختلط =" نوفولو noreferrer "> http://blogs.msdn.com/mikecha/archive/2009/08/07/two-fast-ways-to-bulk-insert-client-generated-data -to-SQL-database.aspx