1. casa
  2. Domanda e risposta
  3. Domande parametrizzate SENZA stored procedure?

Domande parametrizzate SENZA stored procedure?

2009-07-27 18 views
5

Ogni campione che ho visto usa stored procedure. Ho adottato una vecchia applicazione scritta in ASP classico che utilizza SQL in linea. Questo è un problema ovvio, quindi ho bisogno di convertirlo in un codice più sicuro. Il cliente non desidera che io usi le stored procedure in questa applicazione, quindi esiste un modo per eseguire query parametrizzate senza stored procedure?Domande parametrizzate SENZA stored procedure?

Grazie

fonte

2009-07-27 Chris

risposta

-1

C'è qualche ragione per cui il cliente non vuole usare le stored procedure? È molto più semplice utilizzare le stored procedure sia a livello di database che nel codice sorgente. Si dovrebbe ottenere il caching del piano di query sulla query inline se si utilizza il secondo metodo dall'alto, ma a seconda di ciò che si sta facendo potrebbe essere meglio con semplici sproc se si riesce a convincere il proprio cliente che è giusto usarli. Se tutto il resto fallisce, i link sopra sono piuttosto solidi, specialmente il secondo.

fonte

2009-08-03 18:25:11 tcnolan

+0

- 1: "più facile" è soggettivo e l'uso di stored procedure non è una garanzia contro l'iniezione SQL. – RedFilter

+0

Non penso per un minuto che questa sia una cosa soggettiva. Questo è un concetto standard di sviluppo a più livelli, che separa la logica e i livelli dei dati. Inoltre, non ho mai detto che le procedure memorizzate _garantiscono la protezione contro l'iniezione SQL. Le query parametrizzate e le stored procedure impediranno molte situazioni che si verificano a causa della codifica lazy che consente l'iniezione SQL, ma non impedisce alle query dinamiche in sprocs di essere vulnerabili tra le altre cose. Un voto negativo sembra piuttosto inappropriato considerando che si tratta di una risposta valida e perspicace. – tcnolan

Problemi correlati

 Problemi correlati