Предотвращение внедрения SQL в хранимые процедуры Azure DocumentDB

Обновление:

Рад сообщить, что по состоянию на 14 января 2015 года DocumentDB действительно поддерживает параметризацию SQL. Добавлена ​​поддержка в SDK для .NET, Java, Node.js и Python, а также в REST API. Наслаждайтесь =)

Вот пример использования .NET SDK:

IQueryable<Book> queryable = client.CreateDocumentQuery<Book>(collectionSelfLink, new SqlQuerySpec { 
                    QueryText = "SELECT * FROM books b WHERE (b.Author.Name = @name)", 
                    Parameters = new SqlParameterCollection()  { 
                          new SqlParameter("@name", "Herman Melville") 
                     } 
});

Исходный ответ

DocumentDB пока не поддерживает параметризацию SQL... поэтому вам нужно очистить свои входные данные, чтобы избежать непреднамеренного раскрытия данных при чтении (например, для мультитенантных приложений).

При этом... область атаки SQL-инъекций DocumentDB довольно ограничена, поскольку DocumentDB SQL поддерживает только запросы только для чтения. Другими словами, вам не нужно беспокоиться о непреднамеренной записи/обновлении/удалении в контексте DocumentDB и внедрения SQL.

Чтобы ответить на вопрос, относящийся к файлу JavaScript хранимой процедуры:

function simple_sp(s1) {
   var context = getContext();
   var collection = context.getCollection();
   var response = context.getResponse();

   var query = { query: "select * from Families f where f.id = @id", parameters: [{ name: "@id", value: id }] };

   collection.queryDocuments(collection.getSelfLink(), 
      query, {}, 
      function(res){}
   );
}