私は Microsoft ASP.NET / SQL Server 2008 ベースの Web アプリケーションの計画段階にあり、データベースの設計について考える際に、インジェクション攻撃と、インジェクション攻撃のベクトルとしてのデータベースを軽減するために採用すべき戦略について考え始めました。 .
さまざまなソースから、ストアド プロシージャを使用すると安全性が向上すると聞いています。また、動的 SQL で使用されている場合、注入ポイントが存在するため、同じように感染性があることも読みました。
質問
ストアド プロシージャ内でパラメータ化されたクエリを使用することは可能ですか? 私の考えでは、ストアド プロシージャへの引数をプリペアド ステートメントに渡すと、データベース エンジンがそれらの引数をサニタイズしてくれます。