스토어드 프로 시저 사용자 이외에 사용자 입력을 위생해야 할 필요가 있다고 생각해야합니다. 잘 나는 미친 소리가 난다는 것을 안다. 그러나 나는 상점 절차에 의해서만 충분히 편안하다고 느끼지 않는다. 내 첫 번째 이유는 저장 프로 시저에서 오류가 발생할 수 있지만 응용 프로그램 자체에서 오류 메시지가 코딩되어 외부에서 코드 내용을 이해하기가 어렵 기 때문입니다. 그러나 나는 여전히 이것이 안전하지 않다고 생각한다.은 SQL 인젝션에 대해 실제로 안전하게 저장되는 프로 시저입니다.
의견이 있습니까? 또는 저장 프로 시저를 의심하는 것은 잘못된 것입니까?
동적 SQL 문자열을 작성하고 실행하도록 코딩 된 저장 프로 시저가 주입 공격에 취약 할 수 있습니다. 그러나 입력 매개 변수를 승인하고 비 동적 SQL에서이 매개 변수를 사용하도록 구축 된 프로 시저는 취약하지 않습니다. 문제의 SP에 대한 정의를 게시하십시오. –
당신은 그를 [Bobby tables] (http://bobby-tables.com);)로 소개 할 수 있습니다 (농담처럼 들리지만 링크를보고 데이터베이스 입력을 살균하지 않으면 어떻게되는지보십시오) – Barranka
@MichaelBerkowski 비 동적 SQL의 매개 변수가 의미하는 것은 매개 변수가 사용자 입력에 의존하지 않는 경우입니까? – user4237435