SQL注入防御：用三種策略應對SQL注入攻擊[2]

　　* Microsoft安全部門（The Microsoft Security Development LifecycleSDL）對SQL注入的防御進行了一些指導簡單來說有三種策略來應對SQL注入攻擊

　　 使用SQL參數查詢

　　 使用存儲過程

　　 使用SQL僅執行（executeonly）許可

　　同時編寫安全的代碼（第二版）也指導了如何防御此類攻擊

　　* 減輕SQL注入使用參數查詢（第一部分和第二部分）使用參數化查詢的好處是它將執行的代碼（例如SELECT語句）和數據（由程序使用者提供的動態信息）分開該途徑防御了通過用戶傳遞來執行的惡意語句

　　在經典ASP代碼中過濾SQL注入（或者黑名單中的字符）我們將如下的工作認為是實際中臨時性的解決方案因為它治標不治本（例如代碼仍然是有漏洞的他仍然可能被繞過過濾機制而被訪問到）

　　如果你仍然不了解從哪裡開始所有使用特定ASP代碼訪問數據庫尤其是使用由用戶提供的數據的代碼應當首先被檢測

[]  []  

From:http://tw.wingwit.com/Article/program/SQL/201311/16221.html