1、通常情况下,一个web应用程序将会过滤单引号(或其他符号),或者限定用户提交的数据的长度。 在这部分,我们讨论一些能帮助攻击者饶过那些明显防范SQL注入,躲避被记录的技术。
2、如果一个ASP脚本使用一个过程对象限制耩撞苏粪参数的往存储过程中分配(例如ADO的用于参数收集的command对象),那么通过这个对象的执行,它一般是安全的。 明显地,既然新的攻击技术始终地被发现,好的惯例仍然是验证用户所有的输入。
3、比较好的常规的标准是: ?如果一个ASP脚本能够产生一个被提交的SQL查询字符串,即使它使用了存储过程也是能够引起SQL注入的弱点。但是如果攻击者努力影响所执行查询语句的非数据部分,这样他们就可能能够控制数据库。
