SQL Injection в запросе хранимой процедуры

Question

У меня есть хранимая процедура, которая будет возвращать результаты поиска в зависимости от того, что пользователь набрал в текстовое поле стандартного поиска. После нажатия ввода в окне поиска я передаю запрос в search.aspx? Q = независимо от введенного пользователем.

search.aspx имеет SqlDataSource, который принимает строку запроса и вызывает В параметре хранимой процедуры, которая соединяет несколько таблиц и содержит следующие пункты, где ...

where (description like '%' + @query + '%' or title like '%' + @query + '%' or  calls.call_id like @query or r.firstname = @query or r.lastname = @query 
or n.note like '%' + @query + '%') 

... это SQL-инъекции безопасно т.е. использование таких параметров?

Спасибо,

Answer 1

Нет, это не восприимчив к инъекции SQL, поскольку он использует параметры SQL. Скажем, кто-то пытался выполнить SQL injection, предоставляя в качестве значения для @query:

'; DROP TABLE STUDENTS;

Вы по-прежнему безопасны с кодом предоставленной вами, потому что запрос все твое, за исключением параметра, который не является SQL; это строка. Даже если строка содержит SQL, она никогда не выполняется, если ваша хранимая процедура фактически не является executed. Никогда не делайте этого (если у вас нет действительно веских оснований (но даже тогда вы, вероятно, должны сначала перепроектировать)). SQL-инъекцию можно легко избежать, просто используя параметры для дезинфекции ввода пользователя.