2回答
当我说参数化存储过程时,我想特别地排除基于传入参数、构建字符串和将字符串传递到sp_execute_sql的任何存储过程。我的申请不会那么做的。
我有三个问题希望有人能帮我。参数化存储过程会防止除潜在SQL注入攻击之外的所有SQL注入攻击吗?如果在此基础上,我对任何写入数据库的存储过程中的所有分号都进行了消毒,
浏览 5提问于2014-02-15得票数 0
我想知道是否可以在一个或调用中通过Perl 使用执行多个SQL语句。示例:$sql = 'UPDATE foo SET bar = 123;$dbh->do($sql);
我这么问并不是因为我真的想做这样的事情,而是因为我想通过成功的SQL注入攻击来评估
浏览 3提问于2009-06-03得票数 2
回答已采纳
我知道我可以使用立即执行来完成这个任务,但是到目前为止,我还没有找到将动态参数合并在一起的方法,除非简单地连接字符串,这使得我可以使用SQL注入。来自PostgreSQL i,它习惯于引用标识符或使用格式安全地将标识符放入格式化的字符串中,然后可以执行。在Oracle (特别是12c)中有类似的东西吗?如果没有,如何安全地执行这种动态SQ
浏览 0提问于2017-06-01得票数 0
回答已采纳
2回答
我想知道有没有可以注入的漏洞(比如SQL注入等)。使用web应用程序。如果有的话,我只想通过web应用程序保护任何nhibernate注入。
浏览 0提问于2009-06-08得票数 1
1回答
目前,我正以这种方式执行存储过程: engine = sqlalchemy.create_engine(self.getSql_conn_url())self.Variables = pd.read_sql_query(query, engine) 但在How set ARI
浏览 74提问于2021-03-18得票数 1
回答已采纳
2回答
我想用c#的SqlCommand创建一个动态的SQL查询,其中即使表也是一个参数,以避免注入尝试。comm.Parameters.AddWithValue("tbl","TABLENAME");不过,我发觉这是不容许的。我已经研究过在执行过程中使用动态SQL</em
浏览 6提问于2014-06-30得票数 1
回答已采纳
0回答
Java枚举值和SQL注入
、、、、
CONFIRMATION_PENDING, LOCKED, CREDENTIALS_EXPIRED,我将绑定到JSP表单中的复选框,当我获得选定的复选框值时,我将字符串转换为Enum,如下所示:然后在我的DAO中(使用Spring JdbcTemplate),我使用选定的值查询
浏览 5提问于2017-01-09得票数 1
回答已采纳
我可以使用参数来避免所有的SQL注入攻击吗?或者,是否有某些类型的攻击需要程序员更多的关注?
浏览 2提问于2010-09-17得票数 8
回答已采纳
我正在构建一个web应用程序(asp.net & c#),我想将它与db (我正在构建的)连接起来,并且我正在寻找关于使用db连接并安全地进行它(避免sql注入)的教程。我的查询非常简单,并不复杂。我读了一点关于存储过程、预准备语句、LiNQ的内容,所有这些都让我感到困惑。
有人能告诉我该怎么做吗?
浏览 8提问于2010-12-24得票数 0
回答已采纳
2回答
我需要一些关于我的php编码的意见。我特别好奇这对sql注入是否安全。看起来似乎是这样,但我可能错了。
您如何看待这种“风格”的编码,例如,它是可接受的还是非常糟糕的实践?编辑:在这种情况下,我将其与$validinputs进行比较,因为这是该字段唯一有效的搜索词,任何其他搜索词都不会返回任何内容。
浏览 0提问于2014-04-13得票数 0
虽然这种情况并不常见,但我知道,如果要调用使用参数来构造和执行动态SQL的存储过程,则使用参数化查询仍然可以使用SQL注入。
我很好奇,即使您使用参数化查询,是否还有其他可能使用SQL注入的边缘场景?动态SQL是唯一的陷阱吗?
浏览 0提问于2014-11-19得票数 4
回答已采纳
我想问你,如果我在C#中使用这个方法(DbCommand.CreateParameter)将我的参数值传递到我的存储过程中,那么我就可以安全地防止SQL注入了吗?或者我还能对SQL注入做些什么呢?非常感谢您的提前!
浏览 24提问于2019-04-07得票数 0
回答已采纳
我知道如何将列表映射到字符串:我知道我可以使用以下代码将该字符串放入IN子句中:我需要的是使用MySQLDB安全地完成相同的事情(避免SQL注入)。在上面的示例中,因为foo
浏览 2提问于2009-02-26得票数 108
回答已采纳
我一直在研究SQLSVR如何使用预准备语句来防止注入,但它们所保护的通常是查询本身,而不是存储过程之类的东西。使用我当前的代码,我在某种程度上可以避免这种情况吗?我一直在尝试理解这里的PHP手册:https://www.php.net/manual/en/function.sqlsrv-query.php,但我不太确定它会是什么样子,因为我使用的是一
浏览 11提问于2020-06-27得票数 0
回答已采纳
我已经在我的经典ASP应用程序中参数化了我的查询,但我不确定我是否需要清理或擦除自由文本字段,或者参数化是否足以防止注入。
浏览 2提问于2010-01-22得票数 3
回答已采纳
1回答
Acunetix
、、、
我正在扫描我在Asp.net中构建的web应用程序。扫描器正在向系统注入垃圾数据,试图在系统上执行盲目Sql注入,但我使用带有参数化查询的Sql存储过程,这可以避免盲目sql注入,但这些垃圾条目是作为普通文本存储到系统中的,我正在对输入进行消毒,不能使用‘和其他与sql相关的parameters.Now。我的问
浏览 8提问于2013-08-09得票数 0
2回答
我有一个客户端网站,它得到了大量的用户注册,这显然是假的。该站点在4个页面上使用xmod表单,但这些表单看起来不会受到SQL注入的影响。我认为这可能是一次跨站点脚本攻击,但不确定可能使用了什么向量。有没有人可以告诉我或者告诉我DNN 6的特定攻击载体的文档,这样我就可以停止疯狂了。
谢谢
浏览 3提问于2013-09-13得票数 0
云服务器
ICP备案
腾讯会议
云直播
对象存储
腾讯云开发者
