Solo ora riesco a dedicarmi dieci minuti per leggere i post di Ugi.
Ho trovato post interessanti di Fabio e Rosalba i quali parlano dell'utilizzo di Query Parametriche all'interno di SQL Server.
Guarda caso proprio ieri ho deciso di fare una security revision sugli assembly nostre applicazioni in collaudo. Il primo controllo è stato effettuando utilizzando Microsoft FxCop, selezionando gli assembly e le regole da verificare. Il risultato è il seguente. (Per evitare di postare una immagine troppo grande metto in mostra solo i primi 6 risultati). Come si può notare l'errore più frequente legato alla sicurezza commesso è proprio l'utilizzo delle query non parametriche.
L'utilizzo di query non parametriche realizzate sfruttando la concatenazione di stringhe, apre numerose porte ad attacchi di tipo Sql Injection. Questo bellissimo strumento fornisce un help link che spiega come risolvere il problema. Nel caso delle query non parametriche s'invita l'utente a leggere questo link. Come quasi tutti gli help link, viene fornito anche del codice di esempio da cui prendere spunto. E' facile, utile e free.
Perchè non usarlo?