Πώς να χρησιμοποιήσετε sp_executesql για την καταπολέμηση του SQL Ενέσεις

αποθηκευμένη διαδικασία του διακομιστή SQL sp_executesql εκτελεί δυναμικές δηλώσεις SQL που δημιουργείτε σε μια εφαρμογή . SQL ένεση είναι μια αμυχή που επιτρέπει στους χρήστες να αποκτήσουν πρόσβαση στη βάση δεδομένων SQL σας . Χρησιμοποιήστε τις sp_executesql αποθηκευμένες διαδικασίες , μαζί με τη λειτουργία " Αντικατάσταση " για να αντικαταστήσει τον ενιαίο χαρακτήρα απόσπασμα , το οποίο χρησιμοποιείται για να εκτελέσουν κακόβουλο κώδικα στον server σας . Οδηγίες
Η

1 Κάντε κλικ στο κουμπί των Windows " Start" και επιλέξτε " Όλα τα προγράμματα ". Κάντε κλικ στο " SQL Server , " και στη συνέχεια κάντε κλικ στο κουμπί " το SQL Server Management Studio" για να ανοίξετε το λογισμικό . 2

Πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασής σας στην οθόνη log-in διακομιστή SQL για την πρόσβαση στις βάσεις δεδομένων του διακομιστή . Κάντε κλικ σε μια βάση δεδομένων που θέλετε να αναζητήσετε και επιλέξτε " New Query " για να ανοίξετε το πρόγραμμα επεξεργασίας .
Εικόνων 3

Δημιουργήστε μια δυναμική ερώτημα SQL . Ο παρακάτω κώδικας δημιουργεί μια δυναμική ερώτημα που περιέχει αποσπάσματα στα πλαίσια της δήλωσης :

κηρύξει @ ερώτημα ως nvarchar ( 500 ) set @ query = " επιλέξτε το όνομα από τους πελάτες, όταν signupdate = '' 1/1/2011 '' '

σε αυτό το παράδειγμα , ένας χάκερ θα μπορούσε να εισάγετε εισαγωγικά στο " where" , η οποία προκαλεί σφάλματα στο ερώτημα SQL σας .
Η 4

Χρησιμοποιήστε το sp_executesql αποθηκευμένη διαδικασία με τη λειτουργία Αντικατάσταση να αποφευχθεί ένεση SQL . Πληκτρολογήστε τον ακόλουθο κώδικα στο πρόγραμμα επεξεργασίας :

sp_executesql Αντικατάσταση ( @ ερώτημα , '\\ '' , '' '' )

Ο κώδικας αντικαθιστά κάθε ενιαίο απόσπασμα με ένα διπλό απόσπασμα , το οποίο εξαλείφει την δυνατότητα εισαγωγής SQL .
5

Πιέστε το πλήκτρο F5 για να εκτελέσει τη δήλωση . Η SQL εκτελεί και τα αποτελέσματα της οθόνης ερωτήματος στον πίνακα αποτελεσμάτων .
Η
εικόνων