Всі теги »
SQL Server »
SQL Injection
Вибачте, але більше немає доступних тегів для фільтрації.
-
Пару недель назад я написал в своем блоге о Передача параметров в динамический SQL. Где пытался показать, как решить проблему формирования динамического UPDATE, когда имя обновляемого поля и его значение передаются из внешнего мира. При этом я не приводил примеров, с неправильными вариантами. Сегодня нашел свежий пост на http://blogs.msdn.com на ...
-
Сегодня потребовалось передать SQL параметр в динамический SQL запрос именно как параметр, а не путем конкатенации строк. Причина довольно простая, значение параметра приходит от клиента, и если я сделаю конкатенацию, то сразу попаду в область SQL Injection, чего бы мне не хотелось.
Первая идея которая возникла - это воспользоваться выражением ...