Я предпочитаю использовать подготовленный оператор, но я изучаю методы защиты от SQL-инъекции. Я прочитал, что хранимые процедуры используются для ограничения привилегий базы данных, позволяя только привилегии выполнения процедур, но в некоторых случаях можно использовать, чтобы избежать внедрения sql.Сохраненные процедуры aganist SQL injection
Кто-нибудь может дать мне пример с использованием mysql?
Хранимые процедуры не имеют ничего общего с инъекциями.
Для защиты от инъекций вы должны правильно настроить свой SQL-адрес, будь то запрос SELECT, вызов процедуры или что-то еще. Что. Является. Все.
Сокращенный. Лучшим способом избежать внедрения SQL является параметризация запроса и лучший способ параметризации вашего запроса (в большинстве сценариев) - использовать SP. Пожалуйста, прочитайте эту статью для полного объяснения: http://www.sqlservercentral.com/articles/Security/96328/ – jean
@jean Удачи вам в этом, «лучший способ параметризовать ваш запрос (в большинстве сценариев) - использовать SP" , спор! :) – Fred
@jean хорошо мои скудные навыки разработки веб-сайтов позволили мне прочитать. Сама «почти невозможно напасть на то, что вы не знаете», заставило меня рассмеяться. Постарайтесь опубликовать его в security @ stackexcenge и скажите им, что безопасность через неясность является хорошим принципом. –
Ну, это большая секция, на которую нельзя ответить здесь. Короче говоря, если вы напишете «параметризованный запрос», тогда вы предотвратите 80% инъекций, но все зависит от структуры вашей базы данных, стиля кодирования bla bla bla .. ..... –