验证用户输入

下载 JDBC 驱动程序

当您构造访问数据的应用程序时,应假定所有用户输入在获得验证之前都是恶意的。 如果未能实现此目的,则可能会使您的应用程序易于受到攻击。 可能发生的一种类型的攻击称作 SQL 注入。 在此攻击中,恶意代码被添加到字符串中,这些字符串被传递到 SQL Server 的实例中以进行分析和运行。 为了避免这种类型的攻击,应尽可能使用带参数的存储过程,并始终验证用户输入。

在客户端代码中验证用户输入是非常重要的,这样就无需浪费时间往返服务器。 在服务器上验证存储过程的参数同样非常重要。 这样做会捕获绕过客户端验证的输入。

有关 SQL 注入和如何避免此攻击的详细信息,请参阅 SQL 注入。 有关验证存储过程参数的详细信息,请参阅存储过程以及相关文章。

另请参阅

保护 JDBC 驱动程序应用程序