При вызове вываливает ошибку синтаксиса в районе CAST(



пробовал и на прямую подставлять в строку (без параметров). всеравно ругается в этом месте. Что не так?
Если напрямую в SQL Studio выполняю все проходит. Предполагаю ошибся где то в шарпе.
MSSQL 2008

Mikhail Tchervonenko,

разобрался, тут нельзя использовать параметризированные запросы,
как минимум тут CREATE LOGIN [LoginName]
как тогда с инъекциями бороться?

sphinx_mvMikhail TchervonenkoMikhail Tchervonenko,

разобрался, тут нельзя использовать параметризированные запросы,
как минимум тут CREATE LOGIN [LoginName]
как тогда с инъекциями бороться? sp_addlogin

Important
This feature will be removed in a future version of Microsoft SQL Server. Avoid using this feature in new development work, and plan to modify applications that currently use this feature. Use ALTER LOGIN instead.

sphinx_mvMikhail Tchervonenkoпропущено...


Important
This feature will be removed in a future version of Microsoft SQL Server. Avoid using this feature in new development work, and plan to modify applications that currently use this feature. Use ALTER LOGIN instead.Оно тому уже "три с половиной" версии, включая последнюю, как в статусе "will be removed in a future version", а все никак не помрет...
Так что 3-4 года эта фича будет вполне актуальна... "А за это время или ишак сдохнет, или падишах умрет" (с)

Ваши бы слова да Господу в уши :)

на самом деле проблема интересная. Налицо невозможность сделать параметризированный запрос и отсутствие стандартных средств (за исключением продекларированных как умирающие) позволяющих защититься от инъекций. Интересно, что сказали бы эксперты от мелкософта. Уж больно не охота городить регулярки без гарантии что они на все случаи сойдут.

Яростный МечMikhail Tchervonenkoкак тогда с инъекциями бороться?ограничить допустимый набор символов для логина и пароля, проверять регексом.
это все некрасивые решения причем не гарантирующие полной защиты от инъекций.