我读过这里,使用ORM (如nHibernate)并不一定会阻止SQL注入;例如,如果您继续使用ORM框架创建动态查询,则仍然容易受到攻击。
好吧,那么如何正确地使用ORM来避免所有类型的SQL注入呢?我们应该使用ORM框架使用参数化查询吗?像nHibernate这样的代码会转义特殊的SQL字符,比如单引号,这样开发人员就不会编写如下代码:
private string SafeSqlLiteral(string inputSQL) { return inputSQL.Replace("'", "''"); }
浏览 0提问于2015-01-27得票数 -1
在原始查询中的表不存在的情况下,是否可以执行SQL注入来查找有关MySQL数据库的数据?
例如,考虑在PHP中执行以下查询:
mysqli_multi_query("INSERT INTO users (id, email_address) VALUES (NULL, '$email');");
如果表users不存在,还能执行注入吗?我能看到的主要问题是,如果我尝试注入如下内容,整个查询操作将抛出错误:
'); SHOW TABLES; --
这更多的是为了我的教育,而不是任何实际的用途。有什么想法吗?
浏览 0提问于2018-12-21得票数 2
最近,我们的一个客户的网站受到SQL注入攻击,原因是未能清理提供给页面的查询字符串参数。有漏洞的代码已经被识别出来,并且正在被纠正,但是它让我想知道MySQL和SQL Server处理多查询字符串的方式有什么不同。
有漏洞的代码在几十个网站上使用,其中两个在SQL server上运行,其余的在MySQL上运行。有了这段代码,我们以前从未遭受过注入攻击(上帝的恩典),但一旦我们发布了两个运行在SQL server上的网站(使用相同的代码库),网站很快就被利用了。注射的方法非常简单:
page.asp?param=1;delete from [some_table];
正如我所说,易受攻击的代码在
浏览 0提问于2009-09-01得票数 1
回答已采纳
我知道,为了防止所有或大多数SQL注入攻击,您应该使用参数化查询。我使用Hibernate已经有一段时间了,而不是手工编写SQL语句。是否有任何已知的攻击或研究是针对利用这一层?
浏览 0提问于2010-12-09得票数 19
回答已采纳
2回答
参数化字符串等和通配符运算符
、、、、
在我的搜索中,我看到了在SQL查询中使用参数化字符串,形式如下:
SqlCommand comm = new SqlCommand();
comm.CommandText="SELECT * FROM table WHERE field LIKE '%'+@var+'%'";
comm.Parameters.AddWithValue("var","variabletext");
SqlDataReader reader = comm.ExecuteReader();
然而,在这个论坛中提到,尽管它是在参数化字符串中
浏览 3提问于2012-10-31得票数 4
回答已采纳
1回答
透视sql查询
、、
我有一个SQL Server2005表COMPETITOR (Id,Title,cDate,Price),我想格式化查询,使其在Gridview中的视图如下所示:
请帮我写sql查询。
浏览 0提问于2010-01-13得票数 1
回答已采纳
1回答
在下面的代码中,我一直在面对二阶SQL注入
if(subjectId!=null){Query query= sessionFactory
.getCurrentSession()
.createSQLQuery(HubQueryConstants.GET_QUERY)
.setParameter(MyConstants.SUBJECT_ID, subjectId)
.setFirstResult(offset)
.setMaxResults(limit)
浏览 0提问于2016-05-05得票数 1
在中,有人提到PetaPoco的SQL (Sql )不受SQL注入的影响。但是Query(string,parameters)方法是否可以防止SQL注入?
SQL Builder是安全的:
var id = 123;
var a = db.Query<article>(PetaPoco.Sql.Builder
.Append("SELECT * FROM articles")
.Append("WHERE article_id=@0", id)
);
但是,在这样传递参数的字符串查询中,安全吗?
var id = 123;
var a = d
浏览 1提问于2017-07-04得票数 4
回答已采纳
1回答
我正在尝试使用类似于以下内容执行原始sql查询
def dataSource;
Sql sql = new Sql(dataSource);
但是,这似乎是在一个独立的事务中运行的。因此,它遗漏了服务方法中在它之前所做的所有(未提交的)更改。
在当前事务中运行原始sql查询的最佳方式是什么?
浏览 0提问于2013-05-12得票数 3
回答已采纳
2回答
我需要演示使用PHP/MySQL的SQL注入。我想在登录表单中插入一个DROP查询,但它从来都不起作用。(截断表工作良好的OTOH)。在输入'; drop table users; #作为字段输入后,查询结果为
SELECT * FROM `users` WHERE `email` = ''; DROP TABLE users; #' AND `password` LIKE '3232';
但是它从不使用mysql_query()函数。当我在PHPmyAdmin中直接复制/粘贴这个查询时,它工作得很好,表就会被删除。有什么问题吗?
浏览 2提问于2014-07-15得票数 3
回答已采纳
1回答
我看到了一些类似的问题,没有关于mysql的。
有没有办法将sql注入SP?如何在SP级别上防止出现这种情况?
换句话说,SP内部的查询结构可以通过传入的参数以任何方式进行修改吗?
如果我向存储过程发送参数"1;DELETE FROM users;--“,则查询为:
select *
from T
where = @p
浏览 1提问于2012-01-23得票数 0
回答已采纳
2回答
我使用了大量的动态SQL -我认为必须有一些好的指导方针、框架和/或工具来帮助人们使用动态SQL查询。我正在寻找任何关于应该如何编写动态SQL查询的建议(没有简单地编写它,然后添加‘’ect的明显解决方案)。
这里的大问题是,有时它会变得混乱(动态sql,它包含另一个动态sql等)。
如果重要的话,我使用的是sql-server。
我将采纳我能得到的任何建议,谢谢!;)
浏览 12提问于2016-02-03得票数 0
1回答
我正在执行一组更新查询,这些查询是动态生成的,将在Server上使用iBatis2执行。我在sqlMap中编写了update元素,如下所示,它在事务的范围内执行:
<update id="updateDepartments" parameterClass="Office">
declare @sql nvarchar(400);
<iterate property="departmentList">
<!-- form the update query and store in @sql-->
浏览 3提问于2020-05-27得票数 0
3回答
哪种方法可以更好地阻止sql注入
、、、、
我有一个数据库功能,可以在不同的where条件下选择数据。有两种可能的方法来实现这一点。第一
public string select(string name)
{
string s = null;
query = "select * from tablename where name=@name";
con.Open();
com=new SqlCeCommand(query,con);
com.Parameters.AddWithValue("@name",nam
浏览 5提问于2013-04-30得票数 1
你好,我正在用node.js和mysql开发服务器。当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。
我知道如果我使用带有'?‘的SQL语法将会避开SQL语法。所以我想如果我用?在使用多个查询的情况下,无法进行SQL注入攻击。是对的吗?
例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?; SELECT id, nickname FROM auth_user WHERE username = ? LIMIT 1"; let params = [u
浏览 5提问于2018-05-11得票数 2
5回答
我正试图在Laravel创建restAPI。如何从SQL注入中保护这样的sql查询?
Route::get('api/restaurant/id/{id}', 'RestaurantController@getRestaurantById');
public function getRestaurantById($id) {
$restaurant = Restaurant::where('id', $id)->first();
return $restaurant;
}
浏览 8提问于2020-02-21得票数 4
回答已采纳
1回答
大家好,大家好,
我与PDO状态和MySQL一起工作。我有一个安全的管理表单,允许管理员进入MySQL查询的后半部分,然后保存到数据库中。例如,查询的第一部分是:
SELECT COUNT(1) AS count, SUM(`url_count`) AS total
FROM `table_name` WHERE `tablekey_id` = 1
用户可以将以下内容保存到sql_count列中的数据库中:
AND `row_is_live` = 1 AND `title` > '';
因此,在我的程序中,我想执行查询,但是作为用户输入查询,查询可能会失败。因此,我想测
浏览 1提问于2013-04-19得票数 1
我一直在尝试使用Rails find_by_sql功能,并将Sub Query作为参数进行传递。子查询将作为字符串而不是适当的query附加到父查询。下面是我的SQL。 sql = <<~SQL
SELECT
column_1,
column_2
FROM (
?
) AS sample_table
GROUP BY
column_1,
column_2
SQL
somemodel = SomeModel.find_by_sql [sql, someotherquery.to_
浏览 35提问于2020-01-18得票数 0
回答已采纳
假设我有这样一个查询:
Session.CreateCriteria(typeof(类别)) .Add( Expression.Like("Name",someVariable) );
WHere someVariable是从查询字符串中取出的,我是必须检查sql注入还是nhibernate会处理这个问题?
浏览 1提问于2009-12-16得票数 0
我一直在比较combobobox值和SQL列。我正在尝试用C#从VS2010中做到这一点。我使用的是SQL Server 2008。
请在下面找到我的SQL表。
Rings NR Name Dia
=======================
10 12 a 15
10 24 b 18
10 15 c 21
10 9 d 24
10 7 e 15
10 19 f 18
10 33 g 2
浏览 0提问于2013-03-28得票数 0
3回答
如果将分层输入直接插入到SQL查询中,则应用程序很容易受到SQL注入的攻击,如下例所示:
dinossauro = request.GET['username']
sql = "SELECT * FROM user_contacts WHERE username = '%s';" % username
要删除表或任何东西--进行查询:
INSERT INTO table (column) VALUES('`**`value'); DROP TABLE table;--`**`')
人们可以做些什么来防止这种情况发生?
浏览 1提问于2013-12-09得票数 23
2回答
试图利用SQL注入来执行我的任务。不使用Postgresql中的分号,是否可以在order查询之后执行删除或删除查询?
这是我的示例查询:
Select *
from table
order by {sql injection payload}
如果不使用有效载荷中的分号,我们可以删除数据或删除表吗?
我们有类似的Postgrsql吗?
我试过了
选择* from (从table_name中删除返回*) a
但将sql错误作为“语法错误在或接近于
浏览 7提问于2022-11-27得票数 0
9回答
我一直在向我的同事和其他人宣讲在SQL查询中使用参数的好处,特别是在.NET应用程序中。我甚至向他们承诺对SQL注入攻击具有免疫力。
但我开始怀疑这是不是真的。是否有任何已知的SQL注入攻击可以针对参数化查询成功?例如,您是否可以发送一个在服务器上导致缓冲区溢出的字符串?
当然,要确保web应用程序的安全性还有其他的考虑因素(比如清理用户输入之类的东西),但现在我考虑的是SQL注入。我对针对MsSQL 2005和2008的攻击特别感兴趣,因为它们是我的主要数据库,但所有的数据库都很有趣。
编辑:澄清我所说的参数和参数化查询的含义。通过使用参数,我的意思是使用“变量”而不是在字符串中构建sql查
浏览 1提问于2008-11-20得票数 85
回答已采纳
4回答
我正在使用安全牧羊人作为一个训练工具,我现在在挑战,SQL注入逃避挑战。
挑战:
📷
当我在MySQL中的本地数据库中进行类似于上面的查询(只是不同的表名)时,它工作得很好(我假设谢泼德在这个挑战中使用了MySQL,因为它是我迄今为止所面临的唯一类型的DBMS )。
知道上面的查询为什么不能用作SQL注入吗?
如挑战提示中提到的,后端正在使用的查询是:
SELECT * FROM customers WHERE customerId="1" OR "1"="1";
该应用程序通过将'设置为\'来对任何SQL注入进行转义。它不会改变
浏览 0提问于2016-10-29得票数 11
1回答
我正在学习一门网络安全课程,其中包含一个关于SQL Server 2000主机的挑战。 我泄露了一个包含登录页面源代码的asp文件,该文件包含一个硬编码查询,该查询从用户那里获取用户名和密码,然后继续查询数据库... sSql = "SELECT * FROM Users where user_name='" & username & "' and user_password='"&password&"'" 在执行此操作之前,用户输入将通过下面的方法removing... '
浏览 35提问于2019-09-20得票数 1
回答已采纳
我知道如果我使用linq to sql,一切都将是参数化的,并且sql注入是安全的。但是IQueryable呢?
例如,我可以将某个实体转换为Iqueryable:
var myquery = mytesttable.AsQueryable();
var qText = "name="+ "\""+DynamicSearchCondition+ "\"";
myquery = myquery.Where(qText);
然后,当查询运行时,我可以从跟踪中看到传入的DynamicSearchCondition没有参数化。
最初我认为
浏览 1提问于2015-10-01得票数 7
有没有办法让Groovy的SQL库生成一个WHERE ...在()中也可以防止SQL注入吗?
我尝试过以下方法(其中stateList是一个列表或一个String[] -我两者都尝试过):
WHERE p.state IN (${stateList})
查询为WHERE p.state in (QLD, NSW) -字符串不带引号
WHERE p.state IN (${stateList.join(','})
查询为WHERE p.state in (QLD, NSW) -字符串不带引号
WHERE p.state IN (${stateList})
查询是SQL -字符串是
浏览 55提问于2021-03-10得票数 0
回答已采纳
我有一个为我的雇员使用LINQ作为CRUD的fom。我可以依赖吗?
以下网站说:使用LINQ保护数据访问,当专门用于数据访问时,消除了在应用程序中注入的可能性,原因很简单: LINQ代表您执行的每个SQL查询都是参数化的。当LINQ从嵌入式查询语法构建SQL查询时,从任何源提供给查询的任何输入都被视为文字。
资料来源:
那么基本上微软已经想出了如何防止sql注入吗?
浏览 1提问于2011-07-28得票数 7
回答已采纳
我通常创建参数化查询以避免SQL注入攻击。然而,我有一个特殊的情况,我还没有完全做到这一点:
public DataSet getLiveAccountingDSByParameterAndValue(string parameter, string value)
{
string sql = "select table_ref as Source, method as Method, sip_code as Code, " +
" from view_accountandmissed " +
" where &#
浏览 6提问于2012-02-09得票数 4
回答已采纳
我们有基于web的内部工具,允许对数据库的任意SQL查询。对该工具的访问受到限制。与有人故意篡改数据或攻击相比,我更担心的是错误或事故。
查询最终由Statement.executeQuery执行,并返回结果。我尝试了几次测试运行,正如文档所显示的那样,executeQuery似乎在select之外的任何其他调用上都失败了。
是否有其他SQL语句/组合可以诱使executeQuery调用导致数据库中的更改(插入/更新/删除/删除等)。我尝试了几个web上可用的SQL注入示例,但每次都失败了。
浏览 6提问于2015-06-24得票数 2
假设我有一个接受用户输入的多行SQL查询。是否可以通过注释中断使用标准SQL注入?
这是针对Microsoft SQL Server查询的,该查询通过Loopback API接受用户输入。由于相同的用户输入在多个点中使用,我似乎无法编写一个创建有效SQL查询来运行注入攻击的输入。
经修订的守则:
SELECT Field_Name
FROM Table_Name
WHERE Field_Name != 'Hardcoded Value' AND (
Field_1 LIKE '%userinput%' OR
浏览 1提问于2019-05-24得票数 0
回答已采纳
1回答
我的django项目中有几个文本字段,我一直在学习SQL注入。删除潜在的不良字符的文本字段是否重要?这可能使SQL注入更容易吗?我可以想象剥离可能的坏角色,如{ ;,但我不确定。这些字段是关于个人或联系人页面的简短的bios,所以我不认为它们需要这样的字符。
为了明确起见,我已经采取了其他步骤来保护我的网站,比如使用这些字段,比如生成动态sql查询。
浏览 0提问于2018-07-27得票数 0
2回答
我必须准备适合查询的字符串,因为这些字符串将在查询中用作字段值。如果它们包含‘etc’,则sql查询无法执行。
因此,我想将‘替换为’,我已经看到了查找和替换子字符串的代码。但我猜这个问题有点棘手,因为替换字符串也包含两个单引号“替换一个引号”,所以当我必须找到下一个出现的地方时,它会遇到一个被有意替换的‘。
我正在使用Sql lite C api,示例查询可能如下所示
select * from persons where name = 'John' D'oe'
由于John Doe包含“查询将失败,因此我希望名称中所有出现的”替换为“”
你们知道如何准备
浏览 3提问于2013-01-23得票数 2
回答已采纳
1回答
我试图用以下语句返回一条记录:
$username = $_POST["username"];
$con=mysqli_connect("localhost","root","pass","Testproject");
// Check connection
if (mysqli_connect_errno($con))
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
$sql = mysqli_q
浏览 3提问于2013-12-14得票数 0
1回答
我对node.js和mongodb非常陌生。我有一个获取查询字符串的页面
var queries = url.parse(req.url,true).query;
并使用mongoskin模块将它们写入数据库。我必须对sql注入做些什么吗?
浏览 1提问于2012-09-26得票数 0
回答已采纳
2回答
假设您使用以下SQL查询创建一个名为notes的表并在其中存储数据: CREATE TABLE notes (
id INTEGER PRIMARY KEY,
username TEXT,
token TEXT,
text TEXT
);
INSERT INTO notes (username, token, text) VALUES ('alice', 'token-a', 'Reminder: buy milk');
INSERT INTO notes (username, token, text) VALUES ('alice&#
浏览 27提问于2020-08-28得票数 0
我正在读我那本值得信赖的O‘’Reilly书,偶然发现了一段关于Mongo如何自然地避免类似SQL注入的缺陷的文章。
在我的直觉里,我想我明白这一点。如果将未清理的JOIN传递到查询中,它们就不能使用UNION、var、查询转换为注释等打破面向文档的查询结构。
MongoDB如何避免SQL注入带来的混乱?这只是这个查询语法的本质吗?
浏览 1提问于2011-02-17得票数 71
回答已采纳
3回答
此存储过程将检查用户名和密码,如果凭据与其他1匹配,则返回0。
CREATE PROCEDURE usp_CheckPermisssions
@UserName NVARCHAR(50),
@Password NVARCHAR(50)
AS
BEGIN
SET NOCOUNT ON;
IF EXISTS( SELECT 1 FROM dbo.Users WHERE Username=@username and Password=@password)
RETURN 1
ELSE
RETURN 0
END
GO
这只是一个示例存储过程
浏览 6提问于2013-05-10得票数 1
2回答
我编写了简单的PHP搜索脚本,但我不确定这个解决方案是否足以避免sql注入。
我唯一的输入是搜索查询输入。问题是,当有人提交我的表单时,javascript必须将%字符推送到查询字符串的开头和结尾,还必须用%替换所有空格和特殊字符。之后,使用GET方法将其发送到我的服务器上。
使用PDO(execute([$query]),而不是bindParam),并使用下面这样的if语句,检查第一个字符和空格,是否足以阻止sql注入?
if($_GET['query'][0]!='%' || preg_match('/\s/',$_GET['quer
浏览 2提问于2017-03-19得票数 0
回答已采纳
2回答
注入
的定义
SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序,其中恶意SQL语句被插入入口字段以执行(例如将数据库内容转储给攻击者)。
SQL注入如何影响AndroidO.S
安卓应用程序中使用的SQLite是功能齐全的数据库,因此就像Server或MySQL框一样,它们也容易受到SQL注入的影响。SQL注入通常通过将数据添加到查询字符串或在表单字段中添加数据来工作;允许黑客访问数据库或未经授权的登录。SQL注入通常用于攻击Web视图或web服务,但也可用于攻击活动。
SQL注入漏洞的根本原因是使用动态或连接SQL查询。如果SQL查询是通过连接用户提供的输入来构造的,则用户可以提供
浏览 0提问于2015-05-22得票数 2
我想知道SQL注入是如何通过URL与参数中的SQL一起工作的。假设我有一个带有名为mytable的表的数据库。当我从方法POST获得ID时,我将其放在以下查询中:
SELECT * FROM `mytable` WHERE id='POST[id]'
即使用户将SQL放在如下所示:
SELECT * FROM 'mytable'
它变成了这样:
SELECT * FROM `mytable` WHERE id='SELECT * FROM 'mytable'
所以它只会返回:
SQL语法出现错误。
那么这种攻击是如何工作的呢?攻击者如何在
浏览 0提问于2013-06-03得票数 11
我有一些代码可以将用户的搜索单词转换为MySQL查询:
String sql = String.format("SELECT * FROM my_table WHERE my_column = '%s'", value);
HibernateUtil.getCurrentSession().createSQLQuery(sql);
为了测试我是否受到保护--而且我认为以这种方式学习会很有趣--我想尝试一下SQL注入我自己的应用程序。所以我搜索:
x'; DROP TABLE test;--
这将导致以下查询:
SELECT * FROM my_table
浏览 6提问于2015-10-06得票数 1
回答已采纳
1回答
我尝试在joomla模块中模拟sql注入,但没有成功。我在joomla中做了一些调试,我遇到了以下问题。
代码在php admin中运行良好:
SELECT cd.*, cc.title AS category_name, cc.description AS category_description, cc.image AS category_image, CASE WHEN CHAR_LENGTH(cd.alias) THEN CONCAT_WS(':', cd.id, cd.alias) ELSE cd.id END as slug, CASE WHEN CHAR_LENG
浏览 0提问于2013-05-19得票数 0
回答已采纳
我是php的新手。我刚开始了解sql注入,并且一直在思考避免它的方法。我能想到的一种方法是:如果我们可以在查询之前对用户名、密码和其他详细信息进行散列,那么我们就可以完全避免sql注入。那么有没有一个好的方法呢?我的意思是,我们可以使用哈希函数来防止sql注入吗?
我熟悉的语言是C和C++。有没有办法获得字符串中输入的每个字符的十六进制编码,以便在查询之前将其转换为其他类型?
浏览 6提问于2015-11-13得票数 0
1回答
假设我有这行代码
$result = $mysqli->query("SELECT * from myTable where field='".$_GET['var']."');
IMHO这容易受到SQL注入的影响。
因此,我想通过Get / URL发送一个"var“参数来证明这一点,它将注入查询,并带有潜在的恶意代码。
其实我试过这个:
var = "1'; TRUNCATE myTable; ";
我试着在执行SQL字符串查询之前打印出它,它实际上是2个SQL有效语句。
SELECT * fr
浏览 1提问于2014-01-29得票数 4
回答已采纳
2回答
因此,我只是在搜索如何执行“插入”查询,并发现如下:
sql="INSERT INTO Customers (ID,firstName,"
sql=sql & "lastName)"
sql=sql & " VALUES "
sql=sql & "('" & Request.Form("id") & "',"
sql=sql & "'" & Request.Form
浏览 2提问于2014-02-12得票数 1
回答已采纳
我在MySQL中使用EF的Code First方法。
我想知道这种方法中的EF是否内置了对SQL注入的保护,或者我是否必须在MySqlCommand中创建SQL string查询并添加一些参数以防止这种攻击?
我想我不需要,但我想要确定这一点。
编辑(代码片段示例):
MyContext cont = new MyContext();
cont.Comment.AddObject(new Comment { Content = "my string" });
cont.SaveChanges();
或
string query = "INSERT INTO Commen
浏览 0提问于2013-11-26得票数 5
我使用下面的命令尝试使用sqlmap进行SQL注入:
sqlmap -u http://localhost/abc.php?id=1 -D datab --sql-shell
以下查询在shell中运行良好:
SELECT * FROM admin
但是,当我尝试删除该表或尝试使用DROP TABLE admin之类的SQL查询或INSERT * INTO admin之类的查询插入表时,将返回以下错误消息:
[WARNING] execution of custom SQL queries is only available when stacked queries are supported
浏览 0提问于2015-09-16得票数 2
我们现在有10-12年的老项目。它使用的是SQL2000,我们现在已将其移至SQL2008。
在执行此任务时,我发现存储过程正在接受参数,然后将查询构造为字符串,然后使用EXEC执行命令。
CREATE PROCEDURE MyProc
(@TableName varchar(255),
@FirstName varchar(50),
@LastName varchar(50))
AS
-- Create a variable @SQLStatement
DECLARE @SQLStatement varchar(255)
-- Enter the
浏览 0提问于2011-04-08得票数 5
回答已采纳
当用python编写SQL查询时(如果有必要的话),会不会有一个或多个扩展来识别像选择、更新和建议使用IntelliSense之类的SQL关键字?
现在,查询被识别为图片中的查询,并且没有提示关键字。
浏览 1提问于2020-10-05得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
