Я пытаюсь защитить старый классический веб-сайт asp (который имеет около 1000 (.asp) страниц) с помощью MS SQL 2008 R2 (Express Edition).
Я нашел код (см. Ниже) о том, как параметризованные запросы, и этот код мне кажется наиболее простым для понимания и использования на всех страницах, которые необходимо изменить.
Мой вопрос: если бы я должен был преобразовать все запросы ms sql (которые будут выглядеть примерно так, как код ниже), будет ли этого достаточно для защиты от атаки ms sql-инъекции? или мне нужно будет что-то добавить / изменить?
Спасибо за любую помощь ...
ВОТ КОД:
set objCommand = Server.CreateObject("ADODB.Command")
strSql = "SELECT * FROM users WHERE username=? AND password=?"
...
cmd1.Parameters(0) = Request.Form("login")
cmd1.Parameters(1) = Request.Form("password")
...
WITH RECOMPILE
). Обычно это улучшает производительность. SP может предоставить ограниченный доступ к данным, к которым вызывающий не может получить доступ в противном случае, что важно в больших проектах с несколькими приложениями. - person HABO   schedule 02.08.2012