Wie kann ich die gespeicherten Azure DocumentDB-Prozeduren zur SQL-Injektion vermeiden?SQL-Injection in gespeicherten Azure DocumentDB-Prozeduren vermeiden
Abgesehen von der Bereinigung der Eingabe (Whitelist-Zeichen) Was ist die beste Vorgehensweise hier?
Nehmen Sie zum Beispiel die folgende gespeicherte Prozedur aus dem Beispiel MSDN angepasst:
function simple_sp(s1) {
var context = getContext();
var collection = context.getCollection();
var response = context.getResponse();
collection.queryDocuments(collection.getSelfLink(),
'SELECT * FROM Families f where f.id = "' + s1 + '"', {},
function(res){}
);
}
Das s1 Parameter ein Standardbeispiel ist SQL in die Abfrage zu injizieren. Bisher habe ich noch keine Möglichkeit gefunden, die Abfrage zu parametrisieren.