7
如何避免sql注入Azure DocumentDB存儲過程?在Azure DocumentDB存儲過程中避免SQL注入
除了消毒輸入(白名單字符),這裏最好的做法是什麼?
採取例如適於從MSDN示例以下存儲過程:
function simple_sp(s1) {
var context = getContext();
var collection = context.getCollection();
var response = context.getResponse();
collection.queryDocuments(collection.getSelfLink(),
'SELECT * FROM Families f where f.id = "' + s1 + '"', {},
function(res){}
);
}
即S1參數是注入SQL到查詢一個標準的例子。到目前爲止,我還沒有找到一種參數化查詢的方法。