http://msdn.microsoft.com/zh-cn/magazine/cc163917(en-us).aspx
总结:
1、userInput 加校验,以防止输入可能造成attacks的字符
2、杜绝使用dynamic SQL ,可以采用存储过程和sql参数的方式来操作DB
3、不要使用Admin Account,设定少privilege Account来连接字符串
4、hash or encrypt 进行加密secret信息
5、error message不要泄密
生命之价
---程序员 |
http://msdn.microsoft.com/zh-cn/magazine/cc163917(en-us).aspx
总结:
1、userInput 加校验,以防止输入可能造成attacks的字符
2、杜绝使用dynamic SQL ,可以采用存储过程和sql参数的方式来操作DB
3、不要使用Admin Account,设定少privilege Account来连接字符串
4、hash or encrypt 进行加密secret信息
5、error message不要泄密