Вопросы с тегом «sql-injection»

Правда ли, что хранимые процедуры предотвращают атаки SQL-инъекций на базы данных PostgreSQL? Я провел небольшое исследование и выяснил, что SQL Server, Oracle и MySQL не защищены от внедрения SQL, даже если мы используем только хранимые процедуры. Однако эта проблема не существует в PostgreSQL. Предотвращает ли реализация хранимых процедур в ядре …

83 postgresql  security  sql-injection 

В Postgres подготовленные запросы и пользовательские функции эквивалентны как механизм защиты от внедрения SQL ? Есть ли конкретные преимущества в одном подходе по сравнению с другим?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Я сделал следующую хранимую процедуру: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Теперь я попытался сделать что-то вроде этого. Может быть, я делаю это неправильно, но я хочу быть уверен, что такая …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

Я использую MySQL 5.5.21 и пытаюсь вставить символ смайлика '\ xF0 \ x9F \ x98 \ x8A'. Но я не могу понять, как это сделать. Согласно различным форумам, которые я читал, это возможно. Но всякий раз, когда я пытаюсь это сделать, данные просто усекаются. mysql> INSERT INTO hour ( `title`, …

18 mysql  character-set  sql-injection 

Я слышал, кто-то сказал, что вы не хотите использовать динамический SQL. Можете ли вы привести конкретный пример или пример из реальной жизни? Лично я несколько раз кодирую это в своей базе данных. Я думаю, что это нормально, потому что это гибкость. Я предполагаю, что SQL-инъекция или производительность. Что-нибудь еще?

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Я тестирую приложение на основе оракула и обнаружил следующий код: Query = "ВЫБРАТЬ имя из сотрудников, ГДЕ id = '" + PKID + "';" то есть строка запроса содержит кавычки вокруг значения PKID, которое получено прямо из URL. Очевидно, это классическая SQL-инъекция, ожидающая выполнения ... за исключением того, что приложение …

12 oracle  sql-injection 

Что такое метод безопасного цитирования идентификаторов SQL Server для динамического создания SQL? MySQL имеет quote_identifier PostgreSQL имеет quote_ident Как мне обеспечить заданное динамически генерируемое имя столбца для динамически генерируемого утверждения, что сам столбец не является атакой с SQL-инъекцией. Допустим, у меня есть оператор SQL, SELECT [$col] FROM table; который по …

11 sql-server  security  sql-injection 

Сегодня я просматривал старую хранимую процедуру и заметил, что она использует quotenameвходные параметры. После некоторых копаний, чтобы выяснить, что это делает, я наткнулся на этот сайт . Теперь я понимаю, что он делает и как его использовать, но на сайте написано, что он используется для предотвращения атак SQL-инъекций. Когда я …

9 sql-server-2008  t-sql  sql-injection 

Я вижу код от разработчиков, использующих неявное преобразование даты. Я хотел бы получить окончательный ответ на вопрос, почему они не должны этого делать. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle  sql-injection