Вопросы с тегом «sql-injection»

6
Предотвращают ли хранимые процедуры SQL-инъекцию?
Правда ли, что хранимые процедуры предотвращают атаки SQL-инъекций на базы данных PostgreSQL? Я провел небольшое исследование и выяснил, что SQL Server, Oracle и MySQL не защищены от внедрения SQL, даже если мы используем только хранимые процедуры. Однако эта проблема не существует в PostgreSQL. Предотвращает ли реализация хранимых процедур в ядре …

1
SQL-инъекция в функции Postgres против подготовленных запросов
В Postgres подготовленные запросы и пользовательские функции эквивалентны как механизм защиты от внедрения SQL ? Есть ли конкретные преимущества в одном подходе по сравнению с другим?

2
Почему SQL-инъекция не происходит по этому запросу внутри хранимой процедуры?
Я сделал следующую хранимую процедуру: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Теперь я попытался сделать что-то вроде этого. Может быть, я делаю это неправильно, но я хочу быть уверен, что такая …

2
Как я могу вставить смайлики в MySQL (😊)
Я использую MySQL 5.5.21 и пытаюсь вставить символ смайлика '\ xF0 \ x9F \ x98 \ x8A'. Но я не могу понять, как это сделать. Согласно различным форумам, которые я читал, это возможно. Но всякий раз, когда я пытаюсь это сделать, данные просто усекаются. mysql> INSERT INTO hour ( `title`, …

4
Почему вы хотите избежать динамического SQL в хранимой процедуре?
Я слышал, кто-то сказал, что вы не хотите использовать динамический SQL. Можете ли вы привести конкретный пример или пример из реальной жизни? Лично я несколько раз кодирую это в своей базе данных. Я думаю, что это нормально, потому что это гибкость. Я предполагаю, что SQL-инъекция или производительность. Что-нибудь еще?

3
Есть ли способ вырваться из строки и ввести SQL без использования одинарных кавычек в оракуле?
Я тестирую приложение на основе оракула и обнаружил следующий код: Query = "ВЫБРАТЬ имя из сотрудников, ГДЕ id = '" + PKID + "';" то есть строка запроса содержит кавычки вокруг значения PKID, которое получено прямо из URL. Очевидно, это классическая SQL-инъекция, ожидающая выполнения ... за исключением того, что приложение …

1
Какая функция заключает в кавычки идентификатор в динамическом sql с SQL Server?
Что такое метод безопасного цитирования идентификаторов SQL Server для динамического создания SQL? MySQL имеет quote_identifier PostgreSQL имеет quote_ident Как мне обеспечить заданное динамически генерируемое имя столбца для динамически генерируемого утверждения, что сам столбец не является атакой с SQL-инъекцией. Допустим, у меня есть оператор SQL, SELECT [$col] FROM table; который по …

1
Должны ли мы по-прежнему использовать QUOTENAME для защиты от инъекционных атак?
Сегодня я просматривал старую хранимую процедуру и заметил, что она использует quotenameвходные параметры. После некоторых копаний, чтобы выяснить, что это делает, я наткнулся на этот сайт . Теперь я понимаю, что он делает и как его использовать, но на сайте написано, что он используется для предотвращения атак SQL-инъекций. Когда я …

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.