データベース テーブルにテキスト型の列があります。この列には、SQL ステートメントを含めることができます。このテキストを sql サーバーに挿入しようとすると、マシンにインストールされているウイルス対策ソフトウェアから sql インジェクション攻撃を受けます。
ウイルス対策がテキストをキャッチしないようにテキストをエスケープするにはどうすればよいですか。
1 つのサンプル テキストは次のとおりです。
"*By supplying a malformed @scriptfile parameter an attacker can run arbitrary
commands:
use master
declare @cmd nvarchar(4000)
exec sp_MScopyscriptfile N'c:\autoexec.bat" c:\cp.txt&echo hello >
c:\ccc.bbb & echo "hello',@cmd OUTPUT
print @cmd
The above query will copy the autoexec.bat file to cp.txt but also echo hello to a file called ccc.bbb.* "