Записи с меткой «sql-инъекция»

sp_execute_external_script и SQL-инъекция

Пересказ статьи Grant Fritchey. sp_execute_external_script and SQL Injection Для того, чтобы иметь возможность использовать R и Python (а также Java в SQL Server 2019) непосредственно из ваших скриптов SQL Server, применяется процедура sp_execute_external_script. Когда вы видите этот код впервые, он напоминает sp_execute_sql. Первое, что приходит на ум, это «О, нет. Еще одно лазейка для проникновения …

Как правильно использовать динамический SQL

Пересказ статьи Thom Andrews. Dos and Don’ts of Dynamic SQL Динамический SQL может быть невероятно мощным инструментом при надлежащем использовании, однако он может стать также невероятной прорехой в безопасности или привести к утомительной отладке при плохом написании. Ниже приводится несколько плохих и хороших примеров, которые помогут вам при написании динамических операторов.