Запитання з тегом «sql-injection»

6
Чи запобігають збережені процедури запобігання ін'єкції SQL?
Чи правда, що збережені процедури запобігають атакам ін'єкцій SQL проти баз даних PostgreSQL? Я провів невелике дослідження і виявив, що SQL Server, Oracle і MySQL не безпечні проти ін'єкцій SQL, навіть якщо ми використовуємо лише збережені процедури. Однак цієї проблеми не існує в PostgreSQL. Чи запобігає реалізація збереженої процедури в …


2
Чому інжекція SQL не відбувається з цим запитом всередині збереженої процедури?
Я зробив таку збережену процедуру: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Тепер я спробував зробити щось подібне. Можливо, я роблю це неправильно, але хочу бути впевненим, що така процедура може запобігти …

2
Як я можу вставити смайлики в MySQL (😊)
Я перебуваю на MySQL 5.5.21, і намагаюся вставити символ смайлика '\ xF0 \ x9F \ x98 \ x8A'. Але все життя я не можу зрозуміти, як це зробити. За різними форумами, які я читав, це можливо. Але кожного разу, коли я його спробую, дані просто врізаються. mysql> INSERT INTO hour …

4
Чому ви хочете уникати динамічного SQL у збереженій процедурі?
Я чув, як один сказав, що ви не хочете використовувати Dynamic SQL. Чи можете ви навести якийсь конкретний приклад чи приклад із реального життя? Особисто я кодую це кілька разів у своїй базі даних. Я думаю, що це нормально, тому що це гнучкість. Моя здогадка стосується інжекцій або продуктивності SQL. …

3
Чи є спосіб вирватися з рядка та вставити SQL, не використовуючи жодної цитати в Oracle?
Я тестую додаток на базі Oracle і знайшов наступний код: Запит = "ВИБРАТИ ім'я від співробітників, де id = '" + PKID + "';" тобто рядок запиту містить лапки навколо значення PKID, яке отримується прямо з URL-адреси. Очевидно, що це класична інжекція SQL, яка чекає того, що відбудеться ... за …

1
Яка функція цитує ідентифікатор в динамическом sql з SQL Server?
Що таке метод SQL Server безпечного котирування ідентифікаторів для генерації динамічного sql. MySQL має quote_identifier PostgreSQL має quote_ident Як я можу переконатися, що для динамічно згенерованого оператора дається ім’я, що динамічно генерується, що сам стовпець не є атакою ін'єкції SQL. Скажімо, у мене є заява SQL, SELECT [$col] FROM table; …

1
Чи варто все-таки використовувати QUOTENAME для захисту від ін'єкційних атак?
Я сьогодні переглянув стару збережену процедуру і помітив, що вона використовується quotenameна вхідних параметрах. Після деякого копання, щоб зрозуміти, що це робить саме я натрапив на цей сайт . Зараз я розумію, що це робить і як ним користуватися, але на сайті йдеться, що він використовується як пом'якшення від атак …
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.