可能性

Question

我已經申請使用TDE到我的數據庫中的表級加密，和我訪問從我的Windows應用程序的數據庫，通過適當的身份驗證：

我的查詢可能如下所示（打開廣泛的注射入口）。

VB

Dim myQuery="Select * from myTable where some_id='" & txtUserId.Text & "' 

C＃

string myQuery="Select * from myTable where some_id='" + txtUserId.Text + "' 

考慮入侵者試圖一些注射技術，輸入文字像sameValue' or 1=1 or '所以，它將使整個數據。我的問題是，在這種情況下他是否得到了加密的數據或者是實際的數據

注：我不會在我的應用程序中使用這樣的質疑，我用我的整個應用參數化查詢和SP。只是要求澄清。

Answer 1

TDE正在加密數據靜止，(link here)，因此不能保護您免於注射。它僅對數據文件和數據日誌進行加密。

Answer 2

他會得到實際的數據。 是的，TDE加密整個數據庫，但只有當有人走開數據庫文件或備份時才重要。如果有人登錄到數據庫，或者通過SQL注入偷偷摸摸進來，沒有什麼區別，他會得到這些數據。