سلام دوستان لطفا راهنمای کنید که به طور عملی باید چه کارهایی بکنم
یه سری مطلب پیدا کردم ولی خیلی طولانین و در نهایت به راه عملی نمی رسم

از استورد پروسیجر استفاده کنید.

چه جوری استفاده کنم... اگر امکان داره یه مثال بزنید

از استورد پروسیجر استفاده کنید.

استورد پروسیجراتونو تعریف میکنید، بعد توی کدتون استفاده میکنید!

ممنون.ببخشید دقیقا تو پروسیچرم چی بنویسم

استورد پروسیجراتونو تعریف میکنید، بعد توی کدتون استفاده میکنید!

ممنون.ببخشید دقیقا تو پروسیچرم چی بنویسم



Create procedure your procedure name(@parameter dataType,@parameter dataType)

As

Begin

اینجا اون دستور اsqlرو بنویس.

End

با این کار امنیت سایت بالا میره آیا؟

خب برا همه پروسیجرها همین جوری می نویسیم دیگه..........


Create procedure your procedure name(@parameter dataType,@parameter dataType)

As

Begin

اینجا اون دستور اsqlرو بنویس.

End

سلام
اگه پارامترهارو اینجوری به Stored Procedure پاس بدید جلوی این حملات گرفته میشه
[
SqlConnection connection = new SqlConnection("server=.;database=Test;trusted_connection=true");

SqlCommand command = new SqlCommand();

command.CommandText = "ProcedureName";
command.CommandType = CommandType.StoredProcedure;
command.Parameters.AddWithValue("@ParameterName", Textbox1.Text);
try
{
connection.Open();
command.ExecuteNonQuery();
}

آقای sadegh.te اگه استفاده از Stored Procedure منظورتونه بله

دوست عزیز برای جلوگیری از حملات Sql Injection راههای زیادی وجود داره که اینجا (http://msdn.microsoft.com/en-us/library/ff648339.aspx)توضیح داده.البته باید یه مورد رو به این لیست اضافه کرد اون هم اکثر ORM ها من جمله Entity Framework .در صورت عدم استفاده از Entity Framework بهترین گزینه استفاده از parameterized queries هست که شما هم میتونین با استفاده از Sql Parameter ها در Query های ساده خودتون یا استفاده از Stored Procedure (در صورتی (http://blogs.msdn.com/b/brian_swan/archive/2011/02/16/do-stored-procedures-protect-against-sql-injection.aspx) که حتماً به صورت پارامتر اطلاعات رو بهش ارسال کنین) پیاده سازی کنین.