存儲過程防sql注入

A. sql注入攻擊的種類和防範手段有哪些

所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串，欺騙伺服器執行惡意的SQL命令。

在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：

⑴ 某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和密碼。

⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。

B. c#SQL防注入過濾函數疑問！

首先我們先了解為何會出現sql注入攻擊
那是因為用戶傳入字元串
然後我們將某些字元串作為參數傳給方法。
然後拼接字元串產生的。
而這些字元串，大多情況下由於存在特殊的符號比如『單引號，或者一些其他的符號。
對於這些參數，我建議使用SqlParameter[]
而不是直接拼接字元串。
這樣可以解決大部分的sql注入。

C. 如何實現php的安全最大化怎樣避免sql注入漏洞和xss跨站腳本攻擊漏洞

使用php安全模式

伺服器要做好管理，賬號許可權是否合理。

假定所有用戶的輸入都是「惡意」的，防止XSS攻擊，譬如：對用戶的輸入輸出做好必要的過濾

防止CSRF，表單設置隱藏域，post一個隨機字元串到後台，可以有效防止跨站請求偽造。

文件上傳，檢查是否做好效驗，要注意上傳文件存儲目錄許可權。

防禦SQL注入。

避免SQL注入漏洞

1.使用預編譯語句

2.使用安全的存儲過程

3.檢查輸入數據的數據類型

4.從資料庫自身的角度考慮，應該使用最小許可權原則，不可使用root或dbowner的身份連接資料庫。若多個應用使用同一個資料庫，也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶，不應該有創建自定義函數，操作本地文件的許可權。

避免XSS跨站腳本攻擊

1.假定所有用戶輸入都是「邪惡」的

2.考慮周全的正則表達式

3.為cookie設置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注釋

6. 針對非法的HTML代碼包括單雙引號等，使用htmlspecialchars()函數。

D. 如何從根本上防止 SQL 注入

也許可以這樣回答你，如果能保證應用不使用「用戶輸入的字元串」來拼接成為 「向SQL 伺服器發送的SQL執行字元串」 的話，就可以從根本上防止SQL注入。

一、SQL語言的機理：
1、當前主流的幾大資料庫伺服器的數據存、取、匯總控制，都使用一種文本語句「SQL」語句。
2、當客戶端需要數據，或需要發送數據，或需要匯總數據時，都可以向資料庫發送這種標準的描述性文本，比如向資料庫發送 「select * from bas1.dbo.tab1」就是告訴資料庫，我要取「資料庫bas1」中的「tab1」表中的 所有欄位（用「*」通配來代表）的所有記錄（因為沒有加限制條件）。

二、產生SQL注入的基礎：
1、如果客戶端設計者沒有關注SQL注入方面的問題，就有可能在將用戶輸入進行拼接成SQL語句，並發送到伺服器端時，產生惡意的SQL可執行語句。
2、舉例說明：某個網頁上有個修改用戶密碼口令的功能，正常情況下下，用戶輸入原口令，與將要改成的口令，然後對用戶進行修改。用戶正常情況下輸入簡單的字串作為口令，比如「abcdef」，最終，合成向伺服器發送的語句可能為：
update UserTab set password = 'abcdef' where id=222

3、然而，有個人很淘氣，它輸入的字串為

abcdef' --
那麼，合成的發送給伺服器的語句就成了：
update UserTab set password = 'abcdef' --『 where id=222
這條句語一但發向伺服器，其結果是，所有的人的密碼都將變成 abcdef。
4、當然了，上面只是舉了一個例子，以便於你理解什麼是SQL注入。
（絕大多數應用的口令字串都是要進行加密的，所以，這個例子起僅在：
初級用戶寫的，明文存密碼，沒有注意SQL注入。這些條件合適時才起作用。）
5、同理，你可以想出很多的相關的東西，比如在修改用戶姓名的地方……

三、防止SQL注入的一些辦法：
1、客戶端接收到用戶輸入後，進行一次核查，不讓用戶輸入能產生SQL歧義的字元。比如禁止使用任何英文符號作為密碼、姓名等等。
2、盡可能減少用戶的直接字元的輸入，通配查詢，等。

E. 什麼是存儲過程有什麼優點

存儲過程是事先經過編譯並存儲在資料庫中的一段SQL語句的集合，調用存儲過程可以簡化應用開發人員的很多工作，減少數據在資料庫和應用伺服器之間的傳輸，對於提高數據處理的效率是有好處的。

優點：

1、重復使用：存儲過程可以重復使用，從而可以減少資料庫開發人員的工作量。

2、減少網路流量：存儲過程位於伺服器上，調用的時候只需要傳遞存儲過程的名稱以及參數就可以了，因此降低了網路傳輸的數據量。

3、安全性：參數化的存儲過程可以防止SQL注入式攻擊，而且可以將Grant、Deny以及Revoke許可權應用於存儲過程。

(5)存儲過程防sql注入擴展閱讀：

存儲過程的缺點：

1、更改比較繁瑣：如果更改范圍大到需要對輸入存儲過程的參數進行更改，或者要更改由其返回的數據，則仍需要更新程序集中的代碼以添加參數、更新 GetValue() 調用，等等，這時候估計比較繁瑣。

2、可移植性差：由於存儲過程將應用程序綁定到 SQL Server，因此使用存儲過程封裝業務邏輯將限制應用程序的可移植性。如果應用程序的可移植性在您的環境中非常重要，則需要將業務邏輯封裝在不特定於 RDBMS 的中間層中。