Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Quando constrói uma aplicação que acede a dados, deve assumir que toda a entrada do utilizador é maliciosa até prova em contrário. A falha em fazê-lo pode deixar a sua candidatura vulnerável a ataques. Um tipo de ataque que pode ocorrer chama-se injeção SQL. Este ataque é quando código malicioso é adicionado a cadeias que são passadas para uma instância do SQL Server para serem analisadas e executadas. Para evitar este tipo de ataque, deve usar procedimentos armazenados com parâmetros sempre que possível e validar sempre a entrada do utilizador.
Validar a entrada do utilizador no código do cliente é importante para não desperdiçar viagens de ida e volta ao servidor. É igualmente importante validar parâmetros para os procedimentos armazenados no servidor. Dessa forma, a entrada que evita a validação do lado do cliente é interceptada.
Para mais informações sobre injeção SQL e como evitá-la, consulte injeção SQL. Para mais informações sobre a validação de parâmetros de procedimentos armazenados, consulte Procedimentos armazenados e artigos relacionados.