Ласкаво просимо до dev.net.ua Увійти | Приєднатися | Допомога

Предотвращение SQL Injection атак при помощи Visual Studio 2010

SQL Injection является одной из самых распространенный уязвимостей у Web-приложений. Существую рекомендации по их избежанию, главная из которых – не использовать конкатенацию при формировании SQL запросов.

Но всегда можно ошибится. В Visual Studio 2010 добавленно новое правило для проверки кода на такие проблемы:

image_3[7] 

При нарушении этого правила получаем Warning:

image_15[2]

Источник здесь.

Опубліковані Thursday, July 02, 2009 5:16 PM від kosinsky
Помічено як: , ,

Коментарі

# re: Предотвращение SQL Injection атак при помощи Visual Studio 2010

полезная фича

Thursday, July 02, 2009 8:10 AM by Denis Reznik

# re: Предотвращение SQL Injection атак при помощи Visual Studio 2010

стоит ли использовать такие подходы или лучше LINQ to SQL, либо LINQ to EF? Ведь в этом случае проблема исчезает. Я больше чем уверен что в 80% сценариев нет особого смысла формировать запросы самостоятельно.

Tuesday, July 07, 2009 4:12 AM by Віктор Шатохін

# re: Предотвращение SQL Injection атак при помощи Visual Studio 2010

Если код новый, то да. А что делать с legacy? Кстати в Entity Framework можно использовать EntityQL и там теже проблемы с конкатенацией могут быть.

Tuesday, July 07, 2009 7:41 AM by kosinsky
Анонімні коментарі деактивовані. Увійдіть або Зареєструйтесь щоб мати доступ до ресурсів Спільноти.