Как избежать sql-инъекции хранимых процедур Azure DocumentDB?
Помимо дезинфекции ввода (символы из белого списка), что здесь лучше всего?
Возьмем, к примеру, следующую хранимую процедуру, адаптированную из примера MSDN:
function simple_sp(s1) {
var context = getContext();
var collection = context.getCollection();
var response = context.getResponse();
collection.queryDocuments(collection.getSelfLink(),
'SELECT * FROM Families f where f.id = "' + s1 + '"', {},
function(res){}
);
}
Этот параметр s1 является стандартным примером внедрения sql в запрос. Пока я также не нашел способа параметризовать запрос.