К вашему сведению, я работаю над предотвращением внедрения sql с помощью Microsoft Azure и утомительного модуля.
Я видел функцию под названием «escape» в модуле mysql, но я не уверен, есть ли аналогичная функция в утомительном модуле или нет.
К вашему сведению, я работаю над предотвращением внедрения sql с помощью Microsoft Azure и утомительного модуля.
Я видел функцию под названием «escape» в модуле mysql, но я не уверен, есть ли аналогичная функция в утомительном модуле или нет.
Экранирование — это древний метод, который раздражает в использовании, а также подвержен ошибкам (легко забыть переменную или дважды экранировать ее — и нередко можно увидеть, как используется неправильная экранирующая функция). Любая приличная библиотека базы данных, написанная в последнее десятилетие, должна поддерживать подготовленные операторы или от нее нужно отказаться.
В боковом меню утомительного сайта есть заметный Использование параметров запись первого уровня, которая охватывает это:
вот поддержка параметризованных операторов и использование параметров при вызове процедур.
Входные параметры добавляются в запрос с помощью
Request.addParameter()
, а выходные параметры добавляются с помощьюRequest.addOutputParameter()
Имена параметров.В T-SQL имена параметров обозначаются префиксом «@».
select id from address where first_name = @name and age > @age
Имена параметров, используемые в этом API, не включают «@».
request.addParameter('name', ..., ...); request.addParameter('age', ..., ...);
Они могли бы предоставить менее подробный синтаксис, но он должен выполнить свою работу.