Запитання з тегом «sql-injection»

Чи правда, що збережені процедури запобігають атакам ін'єкцій SQL проти баз даних PostgreSQL? Я провів невелике дослідження і виявив, що SQL Server, Oracle і MySQL не безпечні проти ін'єкцій SQL, навіть якщо ми використовуємо лише збережені процедури. Однак цієї проблеми не існує в PostgreSQL. Чи запобігає реалізація збереженої процедури в …

83 postgresql  security  sql-injection 

Чи є в Postgres підготовлені запити та визначені користувачем функції, еквівалентні механізму захисту від введення SQL ? Чи є в одному підході особливі переваги над іншими?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Я зробив таку збережену процедуру: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Тепер я спробував зробити щось подібне. Можливо, я роблю це неправильно, але хочу бути впевненим, що така процедура може запобігти …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

Я перебуваю на MySQL 5.5.21, і намагаюся вставити символ смайлика '\ xF0 \ x9F \ x98 \ x8A'. Але все життя я не можу зрозуміти, як це зробити. За різними форумами, які я читав, це можливо. Але кожного разу, коли я його спробую, дані просто врізаються. mysql> INSERT INTO hour …

18 mysql  character-set  sql-injection 

Я чув, як один сказав, що ви не хочете використовувати Dynamic SQL. Чи можете ви навести якийсь конкретний приклад чи приклад із реального життя? Особисто я кодую це кілька разів у своїй базі даних. Я думаю, що це нормально, тому що це гнучкість. Моя здогадка стосується інжекцій або продуктивності SQL. …

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Я тестую додаток на базі Oracle і знайшов наступний код: Запит = "ВИБРАТИ ім'я від співробітників, де id = '" + PKID + "';" тобто рядок запиту містить лапки навколо значення PKID, яке отримується прямо з URL-адреси. Очевидно, що це класична інжекція SQL, яка чекає того, що відбудеться ... за …

12 oracle  sql-injection 

Що таке метод SQL Server безпечного котирування ідентифікаторів для генерації динамічного sql. MySQL має quote_identifier PostgreSQL має quote_ident Як я можу переконатися, що для динамічно згенерованого оператора дається ім’я, що динамічно генерується, що сам стовпець не є атакою ін'єкції SQL. Скажімо, у мене є заява SQL, SELECT [$col] FROM table; …

11 sql-server  security  sql-injection 

Я сьогодні переглянув стару збережену процедуру і помітив, що вона використовується quotenameна вхідних параметрах. Після деякого копання, щоб зрозуміти, що це робить саме я натрапив на цей сайт . Зараз я розумію, що це робить і як ним користуватися, але на сайті йдеться, що він використовується як пом'якшення від атак …

9 sql-server-2008  t-sql  sql-injection