驗證使用者輸入
當您建構存取資料的應用程式時,您應該假設所有使用者輸入都是惡意的,直到經過證明為止。如果無法證明,這可能會讓您的應用程式容易受到攻擊。可能發生的其中一種攻擊類型稱為 SQL 資料隱碼,其中惡意程式碼會加入到稍後傳遞到 SQL Server 之執行個體進行剖析與執行的字串。若要避免這類型的攻擊,您應該搭配參數 (如有可能) 使用預存程序,並永遠驗證使用者輸入。
在用戶端程式碼中驗證使用者輸入相當重要,如此您不會浪費與伺服器的往返。在伺服器上驗證預存程序的參數以捕捉無效的輸入以及略過用戶端驗證的輸入也同等重要。
如需有關 SQL 資料隱碼以及如何避免 SQL 資料隱碼的詳細資訊,請參閱《SQL Server 2005 線上叢書》中的<SQL 資料隱碼>。如需有關驗證預存程序參數的詳細資訊,請參閱《SQL Server 2005 線上叢書》中的<預存程序 (資料庫引擎)>以及從屬主題。