Сейчас в эпоху L2S и EF, данный вопрос не так актуален, но всё же иногда приходится иметь дело с кодом, где используется динамический SQL в чистом виде.  Для исполнения динамического SQL кода в SQL Server есть два подхода: с помощью инструкции EXECUTE и с помошью хранимой процедуры sp_executesql. ...

SQL Injection является одной из самых распространенный уязвимостей у Web-приложений. Существую рекомендации по их избежанию, главная из которых – не использовать конкатенацию при формировании SQL запросов. Но всегда можно ошибится. В Visual Studio 2010 добавленно новое правило для проверки кода на такие проблемы:   При нарушении этого ...

Посвящается  моим  студентам,  жалующимся  на высокую требовательность к качеству кода при сдаче лабораторных работ...   Конечно эта тема давно ''заезжена'' и все, кто учился в достаточно ''продвинутом'' ВУЗе, слушали ее на лекциях... и даже пробовали самостоятельно использовать эту атаку...    Но ...

Пару недель назад я написал в своем блоге о Передача параметров в динамический SQL. Где пытался показать, как решить проблему формирования динамического UPDATE, когда имя обновляемого поля и его значение передаются из внешнего мира. При этом я не приводил примеров, с неправильными вариантами. Сегодня нашел свежий пост на http://blogs.msdn.com на ...

Сегодня потребовалось передать SQL параметр в динамический SQL запрос именно как параметр, а не путем конкатенации строк. Причина довольно простая, значение параметра приходит от клиента, и если я сделаю конкатенацию, то сразу попаду в область SQL Injection, чего бы мне не хотелось. Первая идея которая возникла - это воспользоваться выражением ...