Ничем. Это String. Только хинт я вам дам: SQL-injection еще никто не отменял, поэтому лучше используйте ХП и ее имя для CommandText

Alexey KudinovДобавлю, что вынос логики в SP сам по себе не спасает от SQL-injection
А спасает только в сочетании с грамотной политикой прав.


отвечу:) Вообще то, права хорошо, но если это не процедура

CREATE Procedure str_exec
@str varchar(5000)
AS
exec @str
GO

То спасает великолепно.Я по крайней мере не вижу, как можно через ХП MS SQL Server-а выполнить SQL-иньекцию

Va1entin2Alexey Kudinov
Говорим SQL-injection, подразумеваем права на выполнение.
Думаю, что Миша в первом ответе это и имел ввиду.


Нет,я имел ввиду не это. Я имел ввиду что если у вас процедура авторизации имеет вид:

Create Procedure Authorize
@Login varchar(50),
@Pass varchar(50)
AS
select * from LoginPassword where Login=@Login AND [Password]=@Pass
GO

И вы ее вызываете так:
SqlCommand cmdAuth = new SqlCommand(this._sqlConn);
cmdAuth.CommandText = "Authorize";
cmdAuth.CommandType = CommandType.StoredProcedure;
cmdAuth.Parameters.Add("@Login", SqlDbType.varchar).Value = tbxLogin.Text;
cmdAuth.Parameters.Add("@Pass", SqldbType.varchar).Value = tbxPass.Text;
SqlDataReader dr = cmdAuth.ExecuteReader();
dr.read();
//нет записей если неверные логин пароль

то все нормально и спокойно. А если вы делаете так:
SqlCommand cmdAuth = new SqlCommand(this._sqlConn);
cmdAuth.CommandText = "select * from LoginPassword where Login='"
+ tbxLogin.Text +"' AND [Password]='" + tbxPass.Text +"'";
cmdAuth.CommandType = CommandType.Text;
SqlDataReader dr = cmdAuth.ExecuteReader();
dr.read();

то вроде тоже все пучком. Но если в tbxPass введут такой текст:
adadasdad' OR 1=1 --
То ваша команда выполнится всегда успешно. Вот это и есть SQL-иньекция и именно ее я и имел ввиду.






Va1entin
2Misha 'Karn' Ivanov
А @str = 'drop ...'?

Этот пример я и привел как пример уязвимой ХП:)

Вот собственно это и формирует мое мнение: прямых SQL запросов не должно быть вообще. Если вы не можете придумать ХП для этого запроса - значит,мало думали. Это на правах имхо. Просто я однажды видел,
какие чудесные вещи происходят, когда
а) форум уязвим к SQL-иньекции
б) форум цепляется к БД под sa
вы не поверите,какая чудесная процедура xp_cmdshell ;-)

Alexey Kudinov[quot Misha 'Karn' Ivanov]Однажды пользователь обратился к нам с вопросом, что у него возникла проблема с получением списка таблиц нашей системы для Excel макроса, который он написал "в свободное от работы время " :)

:-))