यदि मेरे पास एक एएसपी.NET वेब एप्लिकेशन है जिसमें SQL सर्वर डेटाबेस है, तो यह मानना सुरक्षित है कि यदि कोई SQL इंजेक्शन हमला किया जा रहा है तो यह SqlCommand
कक्षा के उदाहरण से गुजर जाएगा?क्या एसक्यूएल इंजेक्शन हमले एसक्यूएल कॉमांड के अलावा किसी अन्य चीज़ के माध्यम से निष्पादित किया जा सकता है?
पृष्ठभूमि:
मैं एक स्थिति है जहाँ मैं एक नहीं बल्कि बड़े वेब अनुप्रयोग कुछ SQL इंजेक्शन कमजोरियों है कि विरासत में मिला है में हूँ। मुझे अन्य मुद्दों के लिए कोड को देखकर कई मिल गए हैं, लेकिन मुझे आश्चर्य है कि सभी एसक्यूएल इंजेक्शन भेद्यताएं खोजने का एक सुरक्षित तरीका SqlCommand
के उदाहरणों के लिए सभी फाइलों को खोजना होगा और फिर यह देखने के लिए जांच करें कि वे पैरामीट्रिज्ड प्रश्न हैं या नहीं। क्या यह एक ठोस योजना है?
यदि आप किसी और के प्रोजेक्ट पर बात कर रहे हैं तो आखिरी बिट बहुत महत्वपूर्ण है। यदि स्पॉक्स हैं तो आप उन्हें पूरी तरह से ऑडिट करना चाहते हैं। सिर्फ इसलिए कि डेटा पहले से ही डीबी में है, इसका मतलब यह नहीं है कि एक एसक्यूएल कमांड में सम्मिलित होना सुरक्षित है। – Wedge
महान जवाब! अंतिम प्रश्न - यदि एसक्यूएल सर्वर स्तर पर एक इंजेक्शन हमला किया जाना है तो इसे 'EXEC' के उपयोग के माध्यम से किया जाना चाहिए? –