نقل قول نوشته شده توسط Shahram_Shobeiri مشاهده تاپیک
بنده گفتم
برنامه نویس چک می کنه که هیچ کلمه قابل اجرایی مثل کلمات (DELETE, DROP, INSERT, UPDATE, ...) تو رشته ارسالی نباشه و اگه باشه اونها رو بی اثر می کنه. حالا با این وجود می خوام بدونم که این روش همچنان نا امنه؟چرا؟
در ضمن لازمه که بگم من از این روش برای تعامل با db استفاده نمی کنم و از همون روش بر مبنای پارامتر استفاده می کنم. اما سئوالم (فکر می کنم) که باعث بازتر شدن بحث بشه. و در ضمن این مورد (روش های پارامتری) در همه زبان های دیگه وجود نداره اما با مواردی مثل mysql_real_escape_string() در php مشکل امنیتی ایجاد نمیشه.
مگه همین ۳ تا دستوره؟
فکر کن از sp_exec و "DE" +"LE" + "TE" استفاده کنم.
به تعداد افراد روی کره زمین راه هست.