我已经设计了一个Python,它与SQLite接口。GUI允许用户选择一个给定列,该列的数据将为每个月求和。根据我从学到的知识,我知道我编写代码的方式使我的代码容易受到SQL注入攻击;我已经使用Python的字符串操作组装了查询。但是,我无法让这个模块以“正确”的方式工作;使用DB-A
浏览 4提问于2017-07-28得票数 0
回答已采纳
我得到了如下表(Django模型定义,它的底层是postgres数据库): id = models.IntegerField(primary_keyPython脚本从CSV文件设置数据库。原始文件列出了具有整数id和整数'person‘字段的所有者,该字段映射到Person.id中的整数。然而,假设Owner中的' Person‘列需要一个Person对象,我<
浏览 0提问于2010-10-17得票数 3
回答已采纳
5回答
如果我在我的网站上使用mysql_real_escape_string和addslashes来避免sql注入攻击,这两个是否足以阻止SQL注入,所以它100%确定现在没有人可以使用SQL注入攻击?
浏览 0提问于2011-06-02得票数 1
回答已采纳
我可以使用参数来避免所有的SQL注入攻击吗?或者,是否有某些类型的攻击需要程序员更多的关注?
浏览 2提问于2010-09-17得票数 8
回答已采纳
1回答
我们正在开发一些API,这些API将通过APIM向外部供应商公开。因此,作为API提供程序,我们需要采取预防措施来避免DOM注入或Crosstie脚本(存储的XSS攻击、反射XSS攻击、基于DOM的XSS攻击).When,我们做了一些研究,所有这些问题都是在浏览器呈现时触发的,通过将其保存为DB中的字符串(我们正确地处理SQl<
浏览 4提问于2022-11-10得票数 0
2回答
我被告知要使用(Python)的cgi.escape()函数来避免sql注入和xss攻击,尽管我确信django会自动转义变量。在阅读有关此类攻击的文章时,我觉得分号的作用对于注入sql和javascript都是至关重要的。但是,cgi.escape似乎没有对分号进行编码,因此没有对分号进行编码。而其它不太不祥的</em
浏览 0提问于2011-03-14得票数 0
据我的QA团队报告,我们的应用程序可以使用SQL注入进行攻击。但是,我们的任何查询都是动态创建的,我们使用一个API来执行类似Hibernate的查询,并且我们总是在执行查询之前准备语句,并且不使用存储过程。QA团队正在使用ZAP扫描应用程序。那么,我需要做些什么来避免ZAP SQL注入警报呢?
浏览 1提问于2016-05-27得票数 0
回答已采纳
我正在读我那本值得信赖的O‘’Reilly书,偶然发现了一段关于Mongo如何自然地避免类似SQL注入的缺陷的文章。MongoDB如何避免SQL<e
浏览 1提问于2011-02-17得票数 71
回答已采纳
我读过ORM应该将SQL注入攻击的可能性降到最低。然而,在Django中,ORM有时是有限的,我需要使用原始SQL。我应该采取哪些步骤来避免SQL注入攻击?目前,我知道如何检查查询字符串中的分号,但没有太多其他。如果我使用参数化查询,这会解决问题吗?是否有任
浏览 6提问于2014-07-15得票数 6
回答已采纳
1回答
实体框架+ sql注入
、、、
我正在构建一个IQueryable,其中应用了相关的过滤器,我在这里遇到了这行代码。items = items.OrderBy(string.Format("{0} {1}", sortBy, sortDirection));
这段代码容易受到SQL注入的攻击吗?或者这些(字符串)参数是在幕后参数化的?我假设所有的Linq查询都为我进行了转义和参数化,但我能够像这样直接传入字符串
浏览 2提问于2016-09-07得票数 14
回答已采纳
2回答
当我说参数化存储过程时,我想特别地排除基于传入参数、构建字符串和将字符串传递到sp_execute_sql的任何存储过程。我的申请不会那么做的。
我有三个问题希望有人能帮我。参数化存储过程会防止除潜在SQL注入攻击之外的所有SQL注入攻击吗?如果在此基础上,我对任何写入数据库的存储过程中<em
浏览 5提问于2014-02-15得票数 0
2回答
我们正在为我们的一个产品开发一个"API“。这将允许用户定义他们不想从他们的“查询”中返回哪些列,我们将构建所需的SQL。
我知道您应该始终使用参数化查询,以避免SQL注入攻击。但是,在构建返回的列由用户定义的语句时,是否存在安全风险?假设我们有以下api请求。这只是一个例子来说明我的</em
浏览 1提问于2012-01-31得票数 1
因此,我通过JDBC在基于SQL的数据库中使用了PrepareStatements,以防止SQL注入攻击。我想知道,如果使用得当,使用Neo4J的Java API ExecutionEngine.execute(String,Map<String,Object>) (参见)是否可以防止针对Cypher的注入攻击更详细地说,如果早期执行参数替换,然后解析
浏览 2提问于2013-05-11得票数 0
1回答
我正在使用下面的代码片段从表中删除所有数据}const char *prepareDelete =[deleteStateme
浏览 0提问于2012-06-06得票数 1
回答已采纳
2回答
我想提高我对可能存在的SQL注入攻击的了解。我知道参数化完全避免了SQL注入风险,因此应该在任何地方应用。然而,当有人问我如何利用它时,我喜欢得到一个答案。
我知道基本的SQL注入攻击是如何工作的。但是,我读到的几乎所有的SQL</
浏览 14提问于2021-10-14得票数 1
我在网上搜索,但我找不到可靠的答案。LINQ to NHibernate是否易受SQL注入和其他原始SQL攻击?如果是,说明如何避免此类数据库攻击的代码是什么?
浏览 1提问于2012-02-29得票数 4
回答已采纳
2回答
我的网站上有一个评论框。我使用Javascript读取注释框并创建XML字符串。(为了问题的目的,我简化了SQL代码和XML字符串)
CREATE PROCEDURE [DB].SQL注入的站点,比如。是否有可能在文本框中输
浏览 5提问于2015-09-17得票数 2
回答已采纳
2回答
我正在ASP.NET MVC C#上开发一个C#应用程序,我很好奇使用存储过程/函数是否可以阻止SQL和xsxx攻击?我想对用户输入的数据进行某种消毒,但我不知道他们最好的方法是什么。如果我需要进行一些数据清理,那么最好的方法是什么呢?
浏览 2提问于2016-06-15得票数 0
回答已采纳
6回答
此LINQ语句易受SQL注入的攻击吗?我正在尝试学习LINQ,我认为它的好处是它不容易受到sql注入的攻击,但我看到的一些东西却有不同的说法。我需要参数化这个LINQ语句以使它更安全吗?如果是这样的话,是怎么做的?这也会被认为是linq to sql或linq to entities吗?
浏览 3提问于2010-09-30得票数 9
回答已采纳
我知道由于SQL注入问题(以及性能和其他问题),动态SQL查询很糟糕。我也知道参数化查询是为了避免注入问题,我们都知道这一点。但我的委托人还是很固执认为 UserName=UserName.Replace("'","''");
SQL="SELEC
浏览 2提问于2009-12-19得票数 3
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号