W jaki sposób można uniknąć sql injection Procedury składowane Azure DocumentDB?Unikanie iniekcji SQL w usługach przechowywanych Azure DocumentDB
Oprócz sanityzacji danych wejściowych (znaki umieszczone na białej liście), jaka jest tutaj najlepsza praktyka?
Weźmy pod uwagę następującą procedurę przechowywane dostosowany z przykładu MSDN:
function simple_sp(s1) {
var context = getContext();
var collection = context.getCollection();
var response = context.getResponse();
collection.queryDocuments(collection.getSelfLink(),
'SELECT * FROM Families f where f.id = "' + s1 + '"', {},
function(res){}
);
}
że S1 Parametr standardowy przykład wstrzykiwanie SQL do zapytania. Do tej pory nie znalazłem sposobu na parametryzację zapytania.