我知道如果我使用linq to sql,一切都将是参数化的,并且sql注入是安全的。但是IQueryable呢?
例如,我可以将某个实体转换为Iqueryable:
var myquery = mytesttable.AsQueryable();
var qText = "name="+ "\""+DynamicSearchCondition+ "\"";
myquery = myquery.Where(qText);
然后,当查询运行时,我可以从跟踪中看到传入的DynamicSearchCondition没有参数化。
最初我认为
浏览 1提问于2015-10-01得票数 7
我的PHP文件包含以下函数。当我将review列设置为'$review'并将IdUser设置为2时,它可以工作,但我需要将IdUser设置为变量$user。将IdUser设置为变量而不是常量的正确语法是什么?(最好是以避免SQL注入攻击的方式)。
function addRatings2($review, $user) {
//try to insert a new row in the "ratings" table with the given UserID
$result = query("UPDATE ratings SET
浏览 1提问于2013-05-23得票数 0
回答已采纳
5回答
如何使此查询具有sql注入验证功能?
$sql=mysql_query("SELECT * FROM updates ORDER BY item_id DESC LIMIT 16");
while($row=mysql_fetch_array($sql))
{
$msg_id=$row['item_id'];
$message=$row['item_content'];
}
或者有人可以给我展示一些例子,或者给我发送一个教程的链接,我对此非常陌生,如果有人能帮助我,那就太好了!:)
浏览 2提问于2011-03-30得票数 2
回答已采纳
我们用COS存储公众可见的图片,那么怎么才能做到让前端自由读取图片,又能防住被别人恶意利用或者刷流量呢?
如果将权限设置为私有读写,通过后端程序读出来吐给前端,那就会存在系统读取瓶颈,有什么更好的策略能兼顾性能和安全吗
浏览 194提问于2021-09-30
我正在为我的安全模块在大学里做一个SQL注入项目,我正在努力学习它是如何工作的。
当脚本不过滤输入,然后循环遍历DB结果集,在屏幕上显示数据时,我可以看到它是如何工作的。但据我所知,以下代码是,不容易受到注入的影响,因为它只希望在屏幕上显示一组值:
<?php
mysql_connect("localhost", "root", "");
mysql_select_db("testdb");
$result = mysql_query("SELECT id, name, description FROM test_
浏览 9提问于2014-06-19得票数 0
回答已采纳
2回答
在本例中,是否可以使用SQL注入更新MySQL数据库中的字段或插入新行:
PHP代码中唯一的保护是mysql_real_escape_string()。
查询是用双引号构造的:"select id from db where id = $id"而不是单字串文字引号。
数据库是mysql (使用mysql_query php调用),所以我认为堆叠查询是不可能的(如果我错了,请纠正我)。
使用mysql而不是mysqli。
我试过使用像1; update users set first_name = foo这样没有运气的东西,并尝试以十六进制和八进制格式传递逗号、'和八进制
浏览 0提问于2014-11-11得票数 5
回答已采纳
我有一些关于injectFile的基本问题:
什么时候重新注释使用injectFile(代码)而不是page.evaluate(代码,.)要让代码进入要刮掉的页面?使用injectFile(代码)有哪些不同/优缺点,例如在性能、抗刮擦检测等方面?如何通过替换gotoFunction和实现page.on(“domcontentloaded”,.)来实现injectFile(代码)?活动,像我一样?或者有没有更好的方法呢?,如果不是我在上一篇文章中描述的,那么“生存导航”选项的用例是什么?这是干什么用的?
向你问好,沃尔夫冈
浏览 4提问于2019-11-07得票数 0
嗨,我们有旧的应用程序接口项目,这是建立在ASP.NET (fxows.asmx ) soap服务上,现在我们正在转换到WebAPI2,所以在第一阶段,我们不会改变业务逻辑层,它有成千上万的内联查询。我的问题是,在这种情况下,我们如何防止SQL注入?因为SQL参数对我们来说不是一个选择,因为太多的变化同样适用于ORM集成,比如实体框架,所以我唯一的猜测是,如果我们为每个输入验证一个字符串属性,那么我们可能可以防止它。还有别的办法吗?另外,有没有简单的方法来验证每个字符串属性?
我不能在这里复制精确的代码,因为我们不允许这样做,所以我发布了一个虚拟示例
我们像这样执行查询
SqlCommand
浏览 0提问于2020-03-02得票数 2
1回答
浏览器完整性检查- NGINX
、、、、
因此,我做了一个NGINX HTTP反向代理,并希望对其进行js浏览器完整性检查。如下所示:
有人能指导我怎么做吗?我已经试了好几个小时了,但还是做不到。
浏览 2提问于2016-02-11得票数 1
我使用的API需要SQL字符串。我接受用户输入,对其进行转义并将其传递给API。用户输入非常简单。它要求提供列值。如下所示:
string name = userInput.Value;
然后,我构造一个SQL查询:
string sql = string.Format("SELECT * FROM SOME_TABLE WHERE Name = '{0}'",
name.replace("'", "''"));
这足够安全了吗?如果不是,有没有一个简单
浏览 4提问于2010-03-09得票数 85
回答已采纳
我正在注射:
-35' and updatexml(null,concat(0x3a,(0x0a,(select database()))),null)-- -
我收到了:
Error 1 - Operand should contain 1 column(s)
知道怎么解决这个问题吗?我正在尝试获取数据库类型。
参考文献:
http://www.securityidiots.com/Web-Pentest/SQL-Injection/Error-Based-Injection-Subquery-Injection.html
http://securityidiots.com/Web-
浏览 0提问于2022-05-22得票数 1
6回答
大多数SQL注入的答案和示例都显示了某种形式的动态SQL或将参数解释为SQL。
我还没有找到“正确”方式的例子。微软和甲骨文的文档只是给出了一些不应该做的例子。
因此,我想我应该问一下这个存储过程示例是否受到SQL注入攻击的保护。
CREATE PROCEDURE test
@username = varchar(30)
@password = varchar(30)
AS
BEGIN
SELECT *
FROM credentials
WHERE username = @username
AND password = @password;
EN
浏览 0提问于2023-03-15得票数 9
回答已采纳
我使用的是SQL服务器,需要通过Python脚本运行以下SQL
SELECT DISTINCT LEN(Wav)-CHARINDEX('.', Wav) FROM <>;
我试着玩这个字符串,但是我想不出如何绕过这个圆点字符。
sql = 'SELECT DISTINCT LEN(Wav)-CHARINDEX({}, Wav) FROM xxx'.format('.')
print(sql)
cursor = conn.cursor()
cursor.execute(sql)
知道怎么解决这个问题吗?
谢谢
浏览 3提问于2021-02-24得票数 1
回答已采纳
我只是想问在Mysql中是否有一种安全的方式来存储客户的信用。
假设他支付了100美元,我们在数据库中记下了100分。每一分都值一美元。一旦他使用了系统-我们从他的账户中减去一个计算出的金额并在他的仪表板中更新-这种情况每天都会发生很多次。
我只是想和你们确认一下,这是正确的方法吗?因为有人可能会黑进系统,把他的账户更新到100,000,然后无休止地使用系统...这就像一个预付费系统,用户可以根据他使用的资源等进行计费。
我想以某种方式确保它的安全,这样我们就可以用PHP进行计算,并在一天内多次向许多用户更新它……
有什么建议吗?
浏览 0提问于2013-01-30得票数 0
回答已采纳
6回答
此LINQ语句易受SQL注入的攻击吗?
var result = from b in context.tests
where b.id == inputTextBox.Text
select b;
其中context是一个实体,test是一个表。我正在尝试学习LINQ,我认为它的好处是它不容易受到sql注入的攻击,但我看到的一些东西却有不同的说法。我需要参数化这个LINQ语句以使它更安全吗?如果是这样的话,是怎么做的?
这也会被认为是linq to sql或linq to entities吗?
浏览 3提问于2010-09-30得票数 9
回答已采纳
1回答
我无法让我的一个身份验证策略正确运行,导致身份验证尝试总是返回false。为了测试,我甚至强制函数返回true。我使用的是Laravel 5.4,这是我的策略函数:
public function can_modify_or_delete(User $user, Comment $comment)
{
return true;
}
在我的AuthServiceProvider.php文件中,我已经将CommentPolicy添加到我现有的策略注册中。
protected $policies = [
'App\Models\Post' => 'App
浏览 3提问于2017-05-14得票数 3
安装程序崩溃,并指示检查c:\windows\sqlstp.log以获取更多信息,以下是日志包含的内容:
Connecting to Server ...
driver={sql server};server=JJOHN-vm;UID=sa;PWD=;database=master
[Microsoft][ODBC SQL Server Driver][Shared Memory]General network error. Check your network documentation.
[Microsoft][ODBC SQL Server Driver][Shared Memor
浏览 0提问于2009-04-11得票数 1
回答已采纳
1回答
是否有PL/SQL函数或通用技术来引用非限定标识符(例如,mytable),以便在动态构造的SQL查询中使用?部分或完全限定标识符(a.b@c)怎么样?
考虑这个人为的例子:
CREATE PROCEDURE by_the_numbers(COL_NAME VARCHAR, INTVAL INTEGER) IS
...
BEGIN
-- COL_NAME is interpolated into SQL string
-- INTVAL gets bound to :1
stmt := 'SELECT * FROM tbl WHERE ' || COL_NAME
浏览 1提问于2010-10-23得票数 1
回答已采纳
我需要在网站中演示SQL注入,但是我的网站使用knockout.js数据绑定来接收类型为POST和dataType JSON的AJAX对象。
下面是一个例子:
<script src="http://knockoutjs.com/downloads/knockout-2.3.0.js"></script>
<div data-bind="value: details().Name" />
<script>
ko.applyBindings();
</script>
SQL注入可以在这样的表单
浏览 32提问于2017-02-21得票数 0
所有人。我在做一个玩具网络应用。它使用Spring和Mybatis。Mybatis配置Java接口。我希望在Intellij中理解SQL的字符串。但事实并非如此。
我想下面应该是这样的。如果它能理解IntelliJ中的SQL,我就有工作上的好处。
我想知道该怎么做。或者没门?
谢谢。
浏览 0提问于2017-04-13得票数 0
回答已采纳
创建函数以使用postgresql数据库创建表时出现错误
def create_table(tb_names, cursor):
cursor.execute(sql.SQL("DROP TABLE IF EXISTS {}").format(sql.Identifier(tb_names)))
cursor.execute(sql.SQL("""CREATE TABLE {}(
id SERIAL,
PRIMARY KEY (id))
浏览 0提问于2020-05-11得票数 0
2回答
在我和我的朋友网站上是带有登录文本框的表单。如果登录不存在,则会出现错误
"Error occurred. 151SQLSTATE[3D000]: Invalid catalog name: 1046 No database selected"。
如果我输入无效的登录和一些sql (例如"iu7' or '1=1'--"),它不会显示任何数据,也不会显示任何错误。
这个表单安全吗?是否可以输入有效的login + sql将登录切换为其在result中的密码?你觉得那个怎么样?
浏览 4提问于2012-03-06得票数 0
2回答
我正在开发一个多语言应用程序,它允许用户输入多种语言(如英语、汉语和韩文)。
对于注册用户,我有validate_length函数来验证用户名和用户名的长度。
然而,我的问题是,我不希望在计算英文字母和中文字母时取得同样的结果。例如,如果我计算长度为"David“和"器防雷器防”。尽管汉字占用了更多的空间,但它们都返回了5。
Ecto目前支持使用codepoints和graphemes来计算长度,但它们都能满足我的需要。
我该怎么做?它甚至有可能计数字母和验证它需要多少“字节”?
浏览 0提问于2018-10-18得票数 0
回答已采纳
如何在ASP.NET登录控件上实现SQL注入防护?是否包含对SQL注入攻击的防护?不然的话,我该怎么办?
浏览 7提问于2013-07-19得票数 1
3回答
我只是想知道有什么好的工具或软件可以推荐给我来保护/加密我在SQL Server2008 R2上开发的存储过程?
我读到了create stored procedure with encryption,有没有可能在程序中有bug的情况下解密它?
此外,我遇到了CLR,但我认为我不想在Visual Studio环境中创建存储过程。也可能是我错了。
希望你能在我还在研究这个话题的时候给我一些建议。
最终的目标是,我不希望人们查看我的存储过程并窃取它以供自己使用。
谢谢。
浏览 0提问于2016-03-21得票数 0
1回答
我有一个CrowdStrike EDR,在所有操作系统上禁用它的唯一方法似乎是提供maintenance-token或要求CrowdStrike禁用防御,这样您就可以卸载它。我也有一个碳黑笔记本电脑,这似乎是这样的情况,你不能禁用它,即使当加载服务通过管理员提示。这与许多EDR相似,这个问题也适用于您安装的任何软件。
举个例子,我在管理组中有一个macOS,但是我不能用sudo卸载这个服务,这怎么可能?即使作为本地管理员,什么样的安全机制也会阻止我这样做。是否存在这样的机制:我需要成为root用户或SYSTEM用户才能允许EDR的卸载和删除?如果我们需要提供一个令牌,这听起来像是一种安装不可移
浏览 0提问于2020-09-18得票数 6
1回答
可使Microsoft Access宏(而不是VBA)容易受到SQL注入?的攻击。
有用于代码流、临时变量等的构造。是否可以编写将用户输入合并到SQL语句中的宏,这样SQL语句就会产生意想不到的不良后果?
SQL语句可以在RunSQL操作中使用。或者,可以使用SetProperty操作来更改RecordSource或RowSource属性。
如果是的话,怎么做呢?
浏览 3提问于2018-10-11得票数 0
回答已采纳
我有一个表单,并通过AJAX发布到file.php,如下所示:
<?php
$sql = $db->prepare("INSERT INTO warna SET id_warna='', nm_warna=? ");
$sql->bind_param("s", $nm_warna);
$sql->execute();
?>
安全吗?或者我该怎么做才能保证安全?
浏览 5提问于2016-10-08得票数 0
回答已采纳
3回答
退货日利息为空
、、
它首先在nodays和interest上返回null,但我意识到它没有被分配到要放入的计算中,所以我添加了AS。我正在计算DATEDIFF,所以它将插入到nodays和interest列中。我已经尝试过分配DATEDIFF($mdate,$pdate) AS nodays和(DATEDIFF($mdate,$pdate) * $amt / 365 * 0.1) AS interest,但是它仍然给我语法错误。我到底在做什么错事?
$sql="INSERT INTO contacts (
nodays, interest, pdate, mdate, amt, first, last
浏览 3提问于2014-07-24得票数 3
回答已采纳
1回答
我想关闭PHPStorm的恼人的突出显示与非错误相关的事情。
我读了他们的文档,上面写着要进行偏好->编辑->检查。我取消了对SQL的所有选择,但是我仍然无缘无故地获得了绿色高亮显示:
我怎么才能让这个失效?很让人分心。
浏览 4提问于2015-06-10得票数 11
回答已采纳
我需要在存储过程中使用动态SQL。
这个动态SQL将创建SQL对象,因此我不能用sp_executesql参数化它并执行它。
是否有一些SQL函数将检查存储过程参数变量,并告诉我是否存在一些非法字符?或者删除它们,或者有这些字符的列表?
有点像
DECLARE @variable = 'password OR 1=1'
IF IsSqlInjectionPossible(@variable)
BEGIN
RAISERROR('Illegal input characters',16,1)
RETURN
END
或
SET @variable =
浏览 5提问于2016-12-23得票数 0
回答已采纳
1回答
想创建一个商用的图床,上传和下载都在移动端完成。
如果有1000个用户,每个用户的总数据在100M左右,一共100g左右,所有资源的请求次数每个月平均在50次左右。
我应该选择什么存储?
如果有人拿到我的资源链接,恶意刷流量怎么办?
能否避免别人恶意刷流量的问题?
能满足我需求的一个月或者一年的价格是多少?
诚心请教,非常感激。
浏览 563提问于2017-12-03
1回答
用户登录后在终端中打开屏幕
、、、、
当用户使用例如Putty登录到我的Debian服务器时,我需要执行以下操作:
它将自动执行命令screen -r MyWindow,并且
用户将无法离开屏幕窗口,因此我希望用户禁用所有命令。
我怎么能这么做?
浏览 0提问于2013-04-17得票数 0
1回答
可能的sql注入
、、、、
我在我的项目中使用,我的代码如下所示:
def self.search(query)
return self.scoped if query.blank?
self.joins(:supplier).where{lower(supplier.supplier_name).like_any(["%#{query}%"])}
end
我的问题是,这段代码容易受到SQL注入的影响吗?我该怎么解决呢?我试着做sanitize(query),但是它只是添加了额外的引号,而SQL语句没有得到适当的生成
浏览 4提问于2015-04-17得票数 3
回答已采纳
我与一位同事交谈,我们讨论了客户端验证。
哪种验证方法更好(javascript/asp.net验证)?
我知道当javascript在浏览器上被禁用时,验证将被禁用,但是使用asp.net验证控件,即使javascript被禁用,您也可以调用page.validate()方法进行验证。
浏览 1提问于2009-09-16得票数 1
回答已采纳
3回答
电子邮件清理的php表单
、、、、
我正在使用下面的代码发送一个联系我们类型的表单,iv检查了安全性,只发现你需要保护邮件函数的From:位,因为我硬编码了这意味着这个脚本是垃圾邮件的/不可劫持的。
$tenantname = $_POST['tenan'];
$tenancyaddress = $_POST['tenancy'];
$alternativename = $_POST['alternativ'];
//and a few more
//then striptags on each variable
$to = "hardcoded@email.com&#
浏览 0提问于2010-04-30得票数 0
3回答
为什么我正在练习的sql注入不起作用。
$sql = "INSERT INTO animals VALUES ('', '{$string}', 'rover')";
我有一个输入框,我在其中输入了以下内容
', ''); drop table dropme; --
并将其替换为注入代码。
但是,sql会失败。但是,当我在phpmyadmin中处理以下语句时,它确实起作用了。
INSERT INTO animals VALUES ('',' ', ''
浏览 5提问于2012-03-28得票数 0
回答已采纳
请帮帮我。
我得到了原始的SQL
WITH collections AS (
SELECT
...
FROM
...
)
SELECT
...
FROM collections c1
LEFT JOIN collections c2
...
我怎么能用Laravel QueryBuilder来写呢?
浏览 0提问于2016-11-15得票数 0
回答已采纳
我有一个全新的Grails2.3.0应用程序,完全没有配置-只是在运行grails create-app后的开箱即用的设置。我发现groovy.sql.Sql代码似乎根本不起作用,并且总是触发以下sql:
java.sql.SQLException: No suitable driver found forjdbc:h2:mem:devDb;MVCC=TRUE;LOCK_TIMEOUT=10000
下面是导致No suitable driver found错误的代码示例,我刚刚在BootStrap.groovy中抛出了它。同样,这是添加到一个全新应用程序中的唯一一段代码。
import gro
浏览 3提问于2013-09-12得票数 2
回答已采纳
2回答
插入时的SQL注入
、、、、
这里描述的INSERT上的SQL注入似乎不适用于MySQL。
当我使用以下语句时:
INSERT INTO COMMENTS VALUES('122','$_GET[value1]');
将其作为'value1‘变量值:
'); DELETE FROM users; --
返回此错误:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to
浏览 2提问于2011-07-22得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
