Welchen Regeln folgt SQL-Escaping?

Ich lese gerade this question, als ich mich fragte, wie komplex ich meine Abfragen erstellen sollte.Welchen Regeln folgt SQL-Escaping?

Bis jetzt habe ich nur einen String mit StringBuilder erstellt, weil in dieser Anwendung nur auswählen, aktualisieren, einfügen und löschen verwendet werden. Jetzt habe ich mich auch gefragt, wie man richtig entkommt, als ich mich fragte, warum es nicht einfach ist, diese Zeichen ' zu dieser \' zu entkommen.

Gibt es ein komplexeres Verhalten hinter der Flucht oder wäre dies vollständig?

Danke für die Eingabe!

Quelle

2012-03-30 Florian Müller

String-SQL ist eine schlechte Idee, da es anfällig für SQL-Injection-Angriffe ist.

Wenn Sie Ihre Abfragen in Stored Procedures einfügen und Ihre Eingabewerte parametrisieren können.

Informationen zur Injection-Angriffe SQL und wie sie zu verhindern, das Open Web Application Security Project Website:

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Quelle

2012-03-30 07:19:32 mattytommo

+1 für die Leistung auch schlecht Es ist, während Abfragepläne leicht für gespeicherte Prozeduren sein können wiederverwendet. – Bridge

Welchen Regeln folgt SQL-Escaping?

Antwort

Verwandte Themen