Sqlserver
 sql >> Datenbank >  >> RDS >> Sqlserver

Vermeidung von SQL-Injection ohne Parameter

Ich denke, die richtige Antwort ist:

Versuchen Sie nicht, selbst für Sicherheit zu sorgen . Verwenden Sie für das, was Sie versuchen, eine beliebige vertrauenswürdige, branchenübliche Bibliothek, die verfügbar ist, anstatt es zu versuchen es selbst zu tun. Welche Annahmen Sie auch immer zur Sicherheit treffen, sie könnten falsch sein. So sicher Ihr eigener Ansatz auch aussehen mag (und er sieht bestenfalls wackelig aus), es besteht die Gefahr, dass Sie etwas übersehen, und wollen Sie dieses Risiko wirklich eingehen, wenn es um Sicherheit geht?

Verwenden Sie Parameter.