我可以使用参数来避免所有的SQL注入攻击吗?或者,是否有某些类型的攻击需要程序员更多的关注?
浏览 2提问于2010-09-17得票数 8
回答已采纳
我必须在DB2中创建一个表,并从Datastage中的Before/After Sql选项卡中的文件中读取查询。我使用DB2连接器来实现这一点。我也对查询进行了参数化,但出现了以下错误--发现了一个意外的标记'/‘。你能建议我怎样才能成功地做到这一点吗?
浏览 16提问于2021-02-22得票数 0
我有网络搜索表单,当我在搜索框中提交我的搜索时,返回的结果是文件名中包含%。例如。原始文件名为abc.jpeg,因此返回的结果将是%bc。或者,如果文件夹是用找到的,则文件夹名称也是相同的。我有一个文本框(作为搜索框,我已经将搜索文本框的值设置为) <%search text%>感谢您的帮助并花时间阅读它。我使用的是Asp.net,C#和Access DB。
浏览 2提问于2011-02-01得票数 1
回答已采纳
4回答
据我所知,准备好的语句(主要是)是一种数据库特性,允许您将参数与使用这些参数的代码分开。,参数化查询主要用于连接到数据库的编程语言,尽管我看到了这个规则的例外情况。问题是,询问准备语句和参数化查询之间的区别会带来很多混乱。诚然,他们的目的是相同的</
浏览 10提问于2016-04-01得票数 31
回答已采纳
2回答
很多人都知道使用参数化查询来防止sql注入攻击是很重要的。
在执行联机事务处理时,sqlite和oracle中的参数化查询也要快得多,因为查询优化器在执行之前不必对每个参数化sql语句进行重新分析。我已经看到,当使用参数化
浏览 7提问于2009-08-23得票数 0
;stmt.setString(2, b);stmt.executeQuery();
如果我的存储例程在MySQL中,那么未经过滤的字符串是否有可能向我的代码中注入一些内容?
浏览 2提问于2012-10-21得票数 0
回答已采纳
我有一个带注释的实体,其中包含一个命名查询。查询包含3个位置参数标记。
在运行时,在将语句存储到DB2缓存之前设置并绑定参数。结果是缓存中充满了许多类似的SQL语句,并且每条语句都被一次又一次绑定。有没有一种方法可以执行像预准备语句这样的命名查询,从而使sql在DB2缓存中只
浏览 1提问于2011-06-08得票数 0
存储过程是否会防止数据库被注入?我做了一些研究,发现如果我们只使用存储过程,Server、Oracle和MySQL对SQL注入是不安全的。然而,在PostgreSQL中不存在这个问题。PostgreSQL核心中的存储过程实现是否阻止了SQL注入,还是有其他原因/差异?如果我们只使用存储过程,我可以在PostgreSQL中使用</
浏览 0提问于2010-11-19得票数 21
1回答
我正在使用CodeIgniter开发一个项目,其中显示的页面有一个选项列表,其中包含页面上显示的数据的可用查询(SELECT语句)。这些查询存储在MySQL表中,包括用户定义的查询。我的问题是,处理所选查询执行的最佳方法是什么:
使用查询命令从表(view_id键)获取<
浏览 1提问于2012-11-05得票数 3
我所做的是,当我输入一个5的数量,它的数据被命名为"ABC-1000“,结果是ABC-1001.ABC-1005,现在我的目标是,当我记录另一组数据并输入它应该从ABC-1005开始的任何数量时,这对我来说有点棘手。我尝试使用子查询来获取最大结果,但是它仍然存在一些错误。这是我的dataTable的照片。
这是我的HT
浏览 0提问于2021-01-21得票数 0
回答已采纳
将JSON从数据库传输到客户端而又不会留下SQL注入机会的最快方法是什么?
我正在考虑分页,插入,更新,删除,排序,等等。针对我的架构中的任何表。
浏览 2提问于2011-04-27得票数 0
回答已采纳
2回答
在SSIS中使用sql命令作为数据访问的OLE源时,如何将参数映射到本地SQL变量?我有一些更复杂的查询,执行后一种方法会降低可读性。
浏览 1提问于2013-09-13得票数 0
回答已采纳
有没有一种方法可以执行存储在nvarchar或ntext中的SQL语句,并在不使用sp_executesql的情况下参数化执行的SQL语句的结果?例如。@SQL = 'SELECT name FROM db.dbo.employees WHERE income > 50000'
在本例
浏览 2提问于2012-10-13得票数 2
回答已采纳
我已经为我们的一个.Net开发人员创建了一个过程,他们可以在其中传入值,然后这些值将构建并输出结果集。它们传递的参数的一部分将决定调用哪个表。我的问题是,如何确保我正在构建的动态sql语句将被缓存,以便更快地执行?我读到的缓存示例中没有一个讨论了动态表名(可能被忽略了),只讨论了查询中的动态参数。我正在使用sp
浏览 1提问于2010-09-02得票数 0
回答已采纳
7回答
我发现SQL注入字符串通常是这样构造的:因此,如果我不允许在我的应用程序的输入中使用分号,这是否可以100%防止任何SQL注入攻击?
浏览 0提问于2011-07-23得票数 9
回答已采纳
2回答
当我去面试时,面试官问我“存储过程的好处是什么?”我开始回答,但当我说“它可以减少网络拥塞”时,他突然说“不,它没有”。
由于存储过程是预编译的,即已经为其创建了执行计划,因此它提高了执行的速度。但是对于将一些变量传递给SP的情况,这些变量需要转到服务器执行,并且应该为每个变量检索不同的结果。因此,我的观点是
浏览 0提问于2012-10-27得票数 2
回答已采纳
2回答
如果我使用MySQLi准备的语句,如下所示:$stmt->bind_param('s',$Session);$stmt->close();
我是否仍然需要像$Session这样使用mysqli_real_escape_string
浏览 6提问于2014-07-12得票数 9
回答已采纳
4回答
使用ASP.NET代码后台访问要查询的数据库与使用SQL存储过程访问数据库之间的性能差异是什么哪一个更有效,更好用?
浏览 0提问于2012-04-19得票数 4
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
