У меня есть хранимая процедура, которая будет возвращать результаты поиска в зависимости от того, что пользователь набрал в текстовое поле стандартного поиска. После нажатия ввода в окне поиска я передаю запрос в search.aspx? Q = независимо от введенного пользователем.SQL Injection в запросе хранимой процедуры
search.aspx имеет SqlDataSource, который принимает строку запроса и вызывает В параметре хранимой процедуры, которая соединяет несколько таблиц и содержит следующие пункты, где ...
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query
or n.note like '%' + @query + '%')
... это SQL-инъекции безопасно т.е. использование таких параметров?
Спасибо,
Нет, это НЕ, если он находится вдали от безопасности. – ljh
Хорошая работа, которую я задал тогда! рекомендовать что-нибудь? – thegunner
@ ljh вы бы хотели уточнить? Запрос выполняет дезинфекцию ввода с использованием параметров. Это выглядит безопасно для меня. – Dan