1 Κάντε κλικ στο κουμπί των Windows " Start" και επιλέξτε " Όλα τα προγράμματα ". Κάντε κλικ στο " SQL Server , " και στη συνέχεια κάντε κλικ στο κουμπί " το SQL Server Management Studio" για να ανοίξετε το λογισμικό . 2
Πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασής σας στην οθόνη log-in διακομιστή SQL για την πρόσβαση στις βάσεις δεδομένων του διακομιστή . Κάντε κλικ σε μια βάση δεδομένων που θέλετε να αναζητήσετε και επιλέξτε " New Query " για να ανοίξετε το πρόγραμμα επεξεργασίας .
Εικόνων 3
Δημιουργήστε μια δυναμική ερώτημα SQL . Ο παρακάτω κώδικας δημιουργεί μια δυναμική ερώτημα που περιέχει αποσπάσματα στα πλαίσια της δήλωσης :
κηρύξει @ ερώτημα ως nvarchar ( 500 ) set @ query = " επιλέξτε το όνομα από τους πελάτες, όταν signupdate = '' 1/1/2011 '' '
σε αυτό το παράδειγμα , ένας χάκερ θα μπορούσε να εισάγετε εισαγωγικά στο " where" , η οποία προκαλεί σφάλματα στο ερώτημα SQL σας .
Η 4
Χρησιμοποιήστε το sp_executesql αποθηκευμένη διαδικασία με τη λειτουργία Αντικατάσταση να αποφευχθεί ένεση SQL . Πληκτρολογήστε τον ακόλουθο κώδικα στο πρόγραμμα επεξεργασίας :
sp_executesql Αντικατάσταση ( @ ερώτημα , '\\ '' , '' '' )
Ο κώδικας αντικαθιστά κάθε ενιαίο απόσπασμα με ένα διπλό απόσπασμα , το οποίο εξαλείφει την δυνατότητα εισαγωγής SQL .
5
Πιέστε το πλήκτρο F5 για να εκτελέσει τη δήλωση . Η SQL εκτελεί και τα αποτελέσματα της οθόνης ερωτήματος στον πίνακα αποτελεσμάτων .
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα