У нас есть тонна хранимых процедур SQL Server, которые полагаются на динамический SQL.
Параметры хранимой процедуры используются в динамическом операторе SQL.
Нам нужно стандартная функция проверки внутри этих хранимых процедур для проверки этих параметров и предотвращения внедрения SQL.
Предположим, у нас есть следующие ограничения:
Мы не можем переписать процедуры, чтобы не использовать динамический SQL.
Мы не можем использовать sp_OACreate и т.д., чтобы использовать регулярные выражения для проверки.
Мы можем ' t изменить приложение, которое вызывает хранимую процедуру, чтобы проверить параметры перед их передачей в хранимую процедуру.
Есть ли набор символов, которые мы можем отфильтровать, чтобы гарантировать, что мы не подвержены SQL-инъекции?