एसक्लोकॉमंड पैरामीटर को कैसे वैध करता है?

Question

SqlParameters का उपयोग कर अपने डेटाबेस प्रश्नों में एसक्यूएल इंजेक्शन को रोकने के लिए एक अनुशंसित विधि है। मुझे कोड/फ़ंक्शन कहां मिल सकता है जो इन मानकों को आंतरिक रूप से स्वच्छ करता है? मैं इस समारोह को मेरे कस्टम कार्यान्वयन में फिर से उपयोग करना चाहता हूं। मैंने प्रतिबिंबक का उपयोग करके इसे खोजने की कोशिश की, लेकिन असफल रहा।

Answer 1

यह एसक्यूएल इंजेक्शन के खिलाफ सुरक्षा करता है, एक्सएसएस नहीं, और कोई कोड या फ़ंक्शन है जो पैरामीटर डेटा को स्वच्छ करता है।

संरक्षण क्वेरी स्ट्रिंग से अलग से सर्वर पर पैरामीटर मानों को प्रेषित करके सुरक्षा को पूरा किया जाता है, ताकि मान कभी सीधे एसक्यूएल कथन में प्रतिस्थापित नहीं हो जाएं।

तो बजाय एसक्यूएल सर्वर कुछ इस तरह चल रहा है:

SELECT * FROM [table] WHERE [column] = ParameterValue 

यह और भी है जैसे कि यह कुछ इस तरह भाग गया:

DECLARE @ParamValue int 
    -- //@ParamValue variable is populated from the framework in a safe way 
SELECT * FROM [table] WHERE [column] = @ParamValue 

यह तेजी से और अधिक सुरक्षित और एक समारोह से मजबूत है जो पैरामीटर डेटा का मूल्यांकन करना होगा। इस तरह के एक समारोह को custom escape characters और भविष्य में संवर्धन जैसी चीजों को संभालने के लिए बहुत जटिल (पढ़ना: त्रुटि प्रवण) होना आवश्यक होगा।

यह साफ-सुथरा पक्ष पूरे मुद्दे को हल करता है: डेटा डेटा है, कोड कोड है, और कभी दो बार मिलेंगे।

---

अन्य, अब नष्ट कर दिया, जवाब देने के लिए आपकी टिप्पणी:

अगर मैं मूल्य ओ'रुरके में गुजरती हैं, यह वह कूटबद्ध इतना है कि यह नष्ट नहीं होती है O''Rourke होने के लिए पूछताछ। सही बात?

नहीं, यह सही नहीं है। चर सीधे डेटा ब्लॉक से बनाया गया है, और इसलिए कोई विशेष भागने या एन्कोडिंग की आवश्यकता नहीं है।