存储过程防sql注入

A. sql注入攻击的种类和防范手段有哪些

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。

在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如：

⑴ 某个ASP.NET Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。

⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。

B. c#SQL防注入过滤函数疑问！

首先我们先了解为何会出现sql注入攻击
那是因为用户传入字符串
然后我们将某些字符串作为参数传给方法。
然后拼接字符串产生的。
而这些字符串，大多情况下由于存在特殊的符号比如‘单引号，或者一些其他的符号。
对于这些参数，我建议使用SqlParameter[]
而不是直接拼接字符串。
这样可以解决大部分的sql注入。

C. 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

D. 如何从根本上防止 SQL 注入

也许可以这样回答你，如果能保证应用不使用“用户输入的字符串”来拼接成为 “向SQL 服务器发送的SQL执行字符串” 的话，就可以从根本上防止SQL注入。

一、SQL语言的机理：
1、当前主流的几大数据库服务器的数据存、取、汇总控制，都使用一种文本语句“SQL”语句。
2、当客户端需要数据，或需要发送数据，或需要汇总数据时，都可以向数据库发送这种标准的描述性文本，比如向数据库发送 “select * from bas1.dbo.tab1”就是告诉数据库，我要取“数据库bas1”中的“tab1”表中的 所有字段（用“*”通配来代表）的所有记录（因为没有加限制条件）。

二、产生SQL注入的基础：
1、如果客户端设计者没有关注SQL注入方面的问题，就有可能在将用户输入进行拼接成SQL语句，并发送到服务器端时，产生恶意的SQL可执行语句。
2、举例说明：某个网页上有个修改用户密码口令的功能，正常情况下下，用户输入原口令，与将要改成的口令，然后对用户进行修改。用户正常情况下输入简单的字串作为口令，比如“abcdef”，最终，合成向服务器发送的语句可能为：
update UserTab set password = 'abcdef' where id=222

3、然而，有个人很淘气，它输入的字串为

abcdef' --
那么，合成的发送给服务器的语句就成了：
update UserTab set password = 'abcdef' --‘ where id=222
这条句语一但发向服务器，其结果是，所有的人的密码都将变成 abcdef。
4、当然了，上面只是举了一个例子，以便于你理解什么是SQL注入。
（绝大多数应用的口令字串都是要进行加密的，所以，这个例子起仅在：
初级用户写的，明文存密码，没有注意SQL注入。这些条件合适时才起作用。）
5、同理，你可以想出很多的相关的东西，比如在修改用户姓名的地方……

三、防止SQL注入的一些办法：
1、客户端接收到用户输入后，进行一次核查，不让用户输入能产生SQL歧义的字符。比如禁止使用任何英文符号作为密码、姓名等等。
2、尽可能减少用户的直接字符的输入，通配查询，等。

E. 什么是存储过程有什么优点

存储过程是事先经过编译并存储在数据库中的一段SQL语句的集合，调用存储过程可以简化应用开发人员的很多工作，减少数据在数据库和应用服务器之间的传输，对于提高数据处理的效率是有好处的。

优点：

1、重复使用：存储过程可以重复使用，从而可以减少数据库开发人员的工作量。

2、减少网络流量：存储过程位于服务器上，调用的时候只需要传递存储过程的名称以及参数就可以了，因此降低了网络传输的数据量。

3、安全性：参数化的存储过程可以防止SQL注入式攻击，而且可以将Grant、Deny以及Revoke权限应用于存储过程。

(5)存储过程防sql注入扩展阅读：

存储过程的缺点：

1、更改比较繁琐：如果更改范围大到需要对输入存储过程的参数进行更改，或者要更改由其返回的数据，则仍需要更新程序集中的代码以添加参数、更新 GetValue() 调用，等等，这时候估计比较繁琐。

2、可移植性差：由于存储过程将应用程序绑定到 SQL Server，因此使用存储过程封装业务逻辑将限制应用程序的可移植性。如果应用程序的可移植性在您的环境中非常重要，则需要将业务逻辑封装在不特定于 RDBMS 的中间层中。