Dapper.net ORM 베스트 프랙티스 - SQL 인젝션을 방지하는 데 필요한 저장 프로 시저 / 빠른 것입니까?

dapper

문제

나는 Dapper.net & micro ORM을 처음 사용합니다.

그들은 종종 저장 프로 시저와 함께 사용되는 것 같습니다. SQL 주입 공격을 막기 위해 저장 프로 시저 (DAL에 직접 SQL 쿼리를 작성하는 것과 반대되는)를 사용해야합니다.

또한 성능이 훨씬 좋아 졌습니까?

Dapper 및 기타 마이크로 ORM을 사용하는 가장 좋은 방법은 저장 프로 시저 또는 저장 프로 시저가 아닌 것입니다.

수락 된 답변

아니요, 삽입 프로 시저가 삽입을 방지 할 필요는 없습니다. 직접 쿼리에서 매개 변수를 올바르게 사용하면 안전 할뿐입니다.

SP의 성능은 더 좋을 있지만, 종종 더 나 빠지고, 더 나 빠졌으며, 의미가 없지만 google '매개 변수 스니핑 (sniffing google)'이라고 생각하는 경우가 종종 있습니다. 쿼리 최적화 도구가 SP와는 너무 똑똑하기 때문에 고통스럽게 느리게 실행됩니다. 해결 방법이 있지만 가능할 때마다 직선 SQL을 사용하는 경우가 점점 더 많아지고 필요할 때만 SP를 보완해야합니다. .



아래 라이선스: CC-BY-SA with attribution
와 제휴하지 않음 Stack Overflow
아래 라이선스: CC-BY-SA with attribution
와 제휴하지 않음 Stack Overflow