驗證使用者輸入
當您建構存取資料的應用程式時,您應該假設所有使用者輸入都是惡意的,直到經過證明為止。 否則應用程式可能容易遭到攻擊。 可能發生的一種攻擊名為 SQL 插入。 在此攻擊中,會將惡意程式碼新增至字串,並將這些字串傳遞至 SQL Server 的執行個體進行剖析及執行。 若要避免這類型的攻擊,您應該搭配參數 (如有可能) 使用預存程序,並永遠驗證使用者輸入。
在用戶端程式碼中驗證使用者輸入相當重要,如此您不會浪費與伺服器的往返。 驗證服務器上預存程序的參數同樣重要。 如此一來,輸入就會遭到攔截,以略過用戶端驗證。
如需 SQL 插入式攻擊以及如何避免 SQL 插入式攻擊的詳細資訊,請參閱<SQL 插入式攻擊>。 如需有關驗證預存程序參數的詳細資訊,請參閱<預存程序>和相關文章。
另請參閱
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: