De SQL -server sp_executesql opgeslagen procedure voert dynamische SQL-instructies die u in een toepassing . SQL-injectie is een hack die gebruikers toestaat om toegang tot uw SQL-database te krijgen . Gebruik de sp_executesql stored procedures samen met de functie " Vervangen " om het enkele aanhalingsteken , die wordt gebruikt om kwaadaardige code uit te voeren op uw server te vervangen . Instructies
1 Klik op de knop Windows "Start " en selecteer " Alle programma's . " Klik op ' SQL Server ' en vervolgens op ' SQL Server Management Studio " om de software te openen . kopen van 2 Typ uw gebruikersnaam en wachtwoord in de SQL server log - in scherm om toegang te krijgen tot de server databases . Klik op een database die u wilt opvragen en selecteer " New Query " om de editor te openen .
3 Maak een dynamische SQL-query . De volgende code maakt een dynamische query die citaten binnen de verklaring bevat :
verklaar @ query op als nvarchar ( 500 ) set @ query = "select naam van klanten waar signupdate = '' 1/1/2011 '' '
in dit voorbeeld , kan een hacker quotes te voegen in de " waar " -clausule , die fouten in uw SQL-query veroorzaakt .
4 Gebruik de sp_executesql opgeslagen procedure met de functie Replace om SQL-injectie te vermijden . Typ de volgende code in de editor : sp_executesql vervangen
( @ query, ' \\ '' , '''' ) op Twitter De code vervangt elke afzonderlijke offerte met een dubbel aanhalingsteken , die elimineert de mogelijkheid om SQL-injectie .
5 Druk op de F5 toets om de instructie uit te voeren . De SQL wordt uitgevoerd en de resultaten van de query weergave in het paneel resultaten .
|
