SQL Server 데이터베이스가있는 ASP.NET 웹 응용 프로그램이있는 경우 SQL 주입 공격이 수행 될 경우 SqlCommand
클래스의 인스턴스를 통과한다고 가정하는 것이 안전합니까?SQL Injection 공격은 SqlCommand 이외의 것을 통해 실행될 수 있습니까?
배경 :
내가 어떤 SQL 주입 취약점을 가지고 오히려 큰 웹 응용 프로그램을 상속 상황에서입니다. 몇 가지 다른 문제에 대한 코드를 살펴 보았습니다 만 모든 SQL 주입 취약점을 찾는 안전한 방법이 모든 파일에서 SqlCommand
의 인스턴스를 검색 한 다음 매개 변수화 된 쿼리인지 확인하는 것이 아닌지 궁금합니다. 이것은 단단한 계획입니까?
다른 사람의 프로젝트에 대해 이야기하는 경우 마지막 비트가 매우 중요합니다. sprocs가있는 경우 철저하게 감사하고 싶습니다. 데이터가 이미 db에 있으므로 SQL 명령에 연결하는 것이 안전하다는 것을 의미하지는 않습니다. – Wedge
좋은 답변입니다! 마지막 질문 - SQL Server 수준에서 주입 공격이 발생하면 EXEC를 사용하여 수행해야합니까? –