1回答
防止SQL通配符注入
、、、、
我有一个应用程序,允许用户使用LIKE操作符输入他们的SQL,外加至少一个用于动态参数的占位符,例如:在后端,它构建PreparedStatements并根据登录信息中的当前用户名设置该参数,如果有人可以注册通配符名(如% ),那么它可以查看所有的用户组。是否有任何标准方法来防止这种SQL通配符注入?我应该如何清理输入
浏览 0提问于2019-02-22得票数 0
1回答
HttpHandler是否监听与浏览器的断开连接?但我在医生或谷歌里找不到答案。我想“中止”一个HttpHandler,因为目前我允许巨大的excel导出(~150 k sql行,so ~600 k html行)。由于几乎和代码一样荒谬的原因,我有一个查询,用于激发用户试图导出的尽可能多的
浏览 2提问于2013-02-07得票数 1
回答已采纳
我需要动态构造一组连接语句,其中的表名和列名是从另一个ColdFusion查询传入的。将字符串值传递到语句中时,CFQUERYPARAM会在语句两边添加单引号-这是CFQUERYPARAM的要点之一。假设这破坏了SQL语句,那么在这种情况下不使用CFQUERYPARAM而是确保清理传入的查询是可以接受的,还是有一种方法允许使用CFQUERYPARAM?(我可以使用Fusebox中<
浏览 12提问于2009-03-24得票数 2
回答已采纳
现在,在我的C#代码中,我用编写了参数化查询command.CommandText = "SELECT * FROM Jobs WHERE JobIdcommand.Parameters.Add("@JobId", SqlDbType.UniqueIdentifier ).Value = actualGuid;这会自动使我的代码不受SQL注入的影响吗?我需要做一些额外
浏览 2提问于2011-08-24得票数 42
回答已采纳
2回答
我知道如何从这个动态创建一个作业。背景--我有一系列SSIS作业,我需要一个测试器来运行。我在创建一个网页以调用位于DB上的WCF服务以执行包时被拒绝了。我不能使用xp_cmdshell。因此,第三个选项是通过sql作业调用包。现在,虽然我可以在每个包中创建一个作业,但理想
浏览 3提问于2012-04-02得票数 0
回答已采纳
2回答
我正在使用一个新的REST后端,与Server对话。REST允许调用者传入他们希望返回的列/字段(?fields=id,name,phone)。我们清理所有列名并验证它们在表中的存在,以防止SQL注入问题。我们的大多
浏览 2提问于2015-11-17得票数 0
回答已采纳
2回答
我们正在为用户建立一个搜索表单来搜索我们的数据库,表单将包含多个字段,这些字段都是可选的。领域包括:
基本上,用户可以填写所有或仅仅部分字段并提交表单。我们应该如何最好地处理这方面的sql?是否最好使用动态sql,在我们的网页中构建where子句,然后将其转发
浏览 2提问于2013-08-09得票数 0
回答已采纳
我不熟悉PL/SQL。有人能解释一下为什么我不能做下面的事情吗?杂注raise return select update while with << close current delete fetch lock insert open rollback set sqlexecute commit for sql pipe 06550。00000 -“第%s行,第%s列:\n%s”*原因:通常是PL/SQL编译错误。*操作:
我可以绕过这个错误的唯一方法是
浏览 1提问于2011-07-22得票数 1
回答已采纳
2回答
嘿,我对我的应用程序使用了参数化的查询,但是现在(我不知道为什么)它们不再被值替换了.因此,它没有运行类似于"SELECT [TABLE_NAME] FROM [MyDefinetelyExistingDatabase]";的东西,而是尝试执行"SELECT [TABLE_NAME] FROM,但是结果是相同的.我不想通过string.Format直接将值插入查询中,但是我希望有这些参数(这些参数在代码中的不同位置正常工作(??)就我所注意
浏览 0提问于2015-08-24得票数 2
回答已采纳
2回答
AllCounters.CounterId WHERE CounterId IN @allcounterids
正如你所看到的,我已经创建了变量'@allcounterids‘并在其中填充了数据,我的问题是我可以在Select的where子句中使用这个变量吗?
浏览 0提问于2011-08-16得票数 0
回答已采纳
FROM TABLE1 where t1_id = :num1;我从一个表中获得一个查询,并使用dbms_sql.native因此,正如您所看到的,有时有一个绑定变量,有时没有。我想知道是否有可能对绑定变量进行“一般处理”。类似于: DBMS_SQL.BIND_VARIABLE (nCursorId, ':num1'
浏览 4提问于2022-08-05得票数 0
回答已采纳
1回答
Veracode静态扫描报告指出了我的内容提供程序实现中的SQL注入缺陷。经过几次讨论后,我得出结论,这可能是报告中的假阳性。因为根据我研究和阅读的内容,我遵循了Android 和中提到的安全指南,以避免SQL注入。
到处都有建议,对传递给SQL查询的数据至少执行一些输入验证,我想掩盖这种可能性,这就是缺陷的原因。每个人都要求我在</
浏览 1提问于2017-01-05得票数 0
在大多数情况下,mysql_real_escape_string是否足以清理用户输入?::编辑::
浏览 0提问于2010-03-01得票数 58
回答已采纳
我有一个两阶段的发行:
此设置允许devs在批准自动清理之前测试更改。我的问题是,是否可以动态地将预部署审批(步骤2)设置为提交发布的用户?如果没有,也许有更好的方法来暂停发布,直到提交者手动允许它继续吗?
浏览 2提问于2020-01-19得票数 1
1回答
在这种情况下,我必须使用动态SQL,因为它看起来很难使用参数。我使用C#对Server 2008 R2运行此查询。也许,我可以在SQL级别或C#级别进行验证,但我不确定哪个更好。SET @sql = 'SELECT * from Customers ' orde
浏览 4提问于2013-09-29得票数 0
回答已采纳
我的网站是基于Wordpress的。为了防止SQL注入,我需要在查询之前清理数据。我对此有几个问题。1/我在stackoverflow上读到过,有人说如果我们使用get_results()进行查询,我们不需要准备() sql查询,因为数据已经被清理过了。$sql = prepare(....query...);2/我们是否对$wpdb-&
浏览 1提问于2016-02-13得票数 0
对于特定的NoSql引擎(Big ) 就这样,我也问了同样的问题。似乎Big不支持NOT IN查询?
这在任何其他NoSQL数据库中都有可能吗?这在NoSQL数据库上有可能吗?
浏览 0提问于2012-06-24得票数 1
回答已采纳
4回答
我正在动态地创建python类,并且我知道并非所有字符在这个上下文中都是有效的。
类库中是否有一种方法可以用于清理随机文本字符串,以便将其用作类名?无论是这样还是列出允许的字符,都会有很好的帮助。关于与标识符名称冲突的添加:(类似于@Ignacio )在下面的回答中指出,在类名中,任何字符(即 )都是有效字符。您甚至可以使用作为类名,而不会有任何麻烦。但有个陷阱。如果确实使用保留字,则无法像其他类(
浏览 7提问于2012-04-12得票数 35
回答已采纳
2回答
我从一个MySQL表中选择行,如下所示:我现在要做的是选择代码以数组中指定的字符序列开头的行。("SELECT id, name, code FROM table WHERE SUBSTRING(code, 1, 2) IN ('AB', 'BA', 'ZK', ...)");
while($sqlcodes = array('AB', 'BA&#
浏览 2提问于2012-11-29得票数 1
回答已采纳
我正在为我的web应用程序使用sql server和tomcat来刷新/清理我的数据库。我必须关闭tomcat才能成功清理。有没有什么方法可以使用java在不关闭tomcat的情况下清理我的数据库?
浏览 3提问于2011-08-27得票数 1
回答已采纳
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
