Come evitare le procedure memorizzate di Azure DocumentDB di SQL injection?Evitare l'iniezione SQL in Azure DocumentDB Stored procedure
Oltre alla sanitizzazione dell'input (caratteri della whitelist) qual è la procedura migliore qui?
Prendiamo ad esempio il seguente stored procedure adattato dall'esempio MSDN:
function simple_sp(s1) {
var context = getContext();
var collection = context.getCollection();
var response = context.getResponse();
collection.queryDocuments(collection.getSelfLink(),
'SELECT * FROM Families f where f.id = "' + s1 + '"', {},
function(res){}
);
}
Tale parametro s1 è un esempio standard SQL iniettando nella query. Finora non ho trovato un modo per parametrizzare la query.