sql-injektion verhindern

Question

Gibt es eine Möglichkeit, Sql-Injection durch die Verwendung von Stored Procedures zu verhindern?

Ich habe eine Sql-Abfrage als

select column name from table where field ='@value'
cmd.parameters.add('@value', value);

Ich verwende parametrisierte Abfragen mit geringsten Rechten. Wie kann ich eine einfache gespeicherte Prozedur schreiben, um eine Sql-Injection zu verhindern. Ist das möglich?

Answer 1

 select column name from table where field =@value

     cmd.parameters.add('@value', value);

SQL-Parameter vermeiden das Problem der Sql-Injection.

Sie müssen nur die =-Bedingung mit Parameter ändern. überprüfen Sie die obige Abfrage.

Answer 2

Die Verwendung von parametrisierten Abfragen allein sollte meines Wissens bereits Sql-Injection-Angriffe verhindern.

Answer 3

Wenn Sie parametrisierte Abfragen verwenden, sollten Sie die Anführungszeichen um @value nicht benötigen ( @value 代わりに '@value' ), sofern der @value-Parameter als String definiert ist.

Das Erstellen einer gespeicherten Prozedur funktioniert auf die gleiche Weise. @value würde als VARCHAR oder ähnliches definiert werden und somit nur Zeichenketten akzeptieren. Dann referenzieren Sie @value statt '@value' in der gespeicherten Prozedur.

CREATE PROCEDURE my_proc (IN @value VARCHAR(32))
BEGIN
  SELECT column name FROM table WHERE field = @value
END

Answer 4

C#

   cmd.parameters.Add("?value", value);

ist veraltet

zur Aktualisierung für @Yogesh Bhadauirya angegeben,

   cmd.Parameters.AddWithValue("?value", value);