1回答
SQL程序集和SQL注入
、、、
我有几个SQL CLR项目作为程序集添加到我的SQL Server2005中。它们是通过存储过程从我的web应用程序中访问的,这些存储过程触发了程序集。
在我的SQL程序集中防止SQL注入的最佳实践是什么?
这些程序集有一堆构建疯狂SQL语句的代码(示例):
sqlBuff.Append("SELECT ");
// Always put replicate weight values on the first.
sqlBuff.Append(colBuff.ToString());
sqlBuff.Appen
浏览 3提问于2012-11-30得票数 3
回答已采纳
在数据库/sql包中,我可以通过两种方式执行查询:
第一种方法:使用Sql.Stmt
变量DeletePermissionStmt *sql.Stmt DeletePermissionStmt,err = database.Prepare(DELETE FROM permission WHERE permission\_id=$1)如果err != nil {log.Errorf(“无法准备删除权限语句:%s",err.Error()}事务,err := database.Begin() //假设以前定义了postgres数据库,前提是err != nil {log.WithFie
浏览 3提问于2016-09-19得票数 0
回答已采纳
我想知道是否可以在一个或调用中通过Perl 使用执行多个SQL语句。示例:
# Multiple SQL statements in a single query, separated by a ";"
$sql = 'UPDATE foo SET bar = 123; DELETE FROM foo WHERE baz = 456';
$sth = $dbh->prepare($sql);
$sth->execute;
# ...or...
$dbh->do($sql);
我这么问并不是因为我真的想做这样的事情,而是因为我想通过成功的S
浏览 3提问于2009-06-03得票数 2
回答已采纳
在PHP手册中,有一个说明:
注意:如果此函数不用于转义数据,则查询容易受到SQL注入攻击。
这是否足以反sql注入?如果没有,你能给出一个反sql注入的例子和一个很好的解决方案吗?
浏览 5提问于2010-11-13得票数 7
回答已采纳
有没有办法让Groovy的SQL库生成一个WHERE ...在()中也可以防止SQL注入吗?
我尝试过以下方法(其中stateList是一个列表或一个String[] -我两者都尝试过):
WHERE p.state IN (${stateList})
查询为WHERE p.state in (QLD, NSW) -字符串不带引号
WHERE p.state IN (${stateList.join(','})
查询为WHERE p.state in (QLD, NSW) -字符串不带引号
WHERE p.state IN (${stateList})
查询是SQL -字符串是
浏览 55提问于2021-03-10得票数 0
回答已采纳
我使用以下代码(使用sqlite3的python)将数据添加到表中: ''' INSERT INTO TABLE (USERNAME) VALUES ("''' + data + '''")''' If I block ",那么(据我所知)退出字符串应该是不可能的,随后就不可能进行SQL注入。 我的问题是:这会阻止用户注入SQL吗?如果没有,我应该添加更多的黑名单还是创建白名单? 非常感谢所有的帮助。
浏览 17提问于2019-01-25得票数 0
3回答
Dim tbl as String = Request.QueryString("tb") 'tb value = User
Dim sql As String = "Select * From @table Where @Col = @ColVal"
Dim para As New SqlParameter
para.ParameterName = "table"
para.Value = tbl
Dim paraArray1 As New SqlParameter
paraArray1.ParameterName = "@C
浏览 4提问于2012-06-07得票数 0
我是nodejs sequelize ORM的初学者。我想知道如何防止NodeJS sequelize ORM上的sql注入。 示例 我有一个像http://localhost:3000/admin/video/edit/5这样的路由,控制器看起来像 albumEdit: async (req, res) => {
const editInfoId = req.params.id;
await Movie.findOne({ where: { id: editInfoId } }).then((movie) => {
浏览 125提问于2021-09-24得票数 0
回答已采纳
1回答
我正在测试我的网站是否受到SQL注入攻击,我想跟踪发送到SQL server的SqlDataSource消息。我怎样才能做到这一点,或者至少尽可能地接近。
浏览 1提问于2010-06-15得票数 1
回答已采纳
我读过这里,使用ORM (如nHibernate)并不一定会阻止SQL注入;例如,如果您继续使用ORM框架创建动态查询,则仍然容易受到攻击。
好吧,那么如何正确地使用ORM来避免所有类型的SQL注入呢?我们应该使用ORM框架使用参数化查询吗?像nHibernate这样的代码会转义特殊的SQL字符,比如单引号,这样开发人员就不会编写如下代码:
private string SafeSqlLiteral(string inputSQL) { return inputSQL.Replace("'", "''"); }
浏览 0提问于2015-01-27得票数 -1
1回答
防止sql注入的最佳实践是什么?我的客户要求我阻止sql注入。我使用这个结构来插入或更新数据。
public bool Add(GreenItem aGreenItem, Employee emp)
{
aGreenItem.GreenItemCode = new CommonBLL().GetMaxId("[GreenItemCode]", "[Processing].[GreenItem]", "GTM");
using (SqlConnection objConnection
浏览 9提问于2020-09-01得票数 1
回答已采纳
你好,我正在用node.js和mysql开发服务器。当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。
我知道如果我使用带有'?‘的SQL语法将会避开SQL语法。所以我想如果我用?在使用多个查询的情况下,无法进行SQL注入攻击。是对的吗?
例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?; SELECT id, nickname FROM auth_user WHERE username = ? LIMIT 1"; let params = [u
浏览 5提问于2018-05-11得票数 2
我想知道为了防止ContentValue注入,在查询中使用类SQL是否是一个好的做法。
谢谢
浏览 0提问于2010-02-02得票数 4
回答已采纳
我计划通过使用$variable来阻止SQL注入,并将其路由到一个函数,该函数将扫描$variable中的任何sql命令或任何注入尝试。我还将列出人们会使用inject的常用sql命令,以便将其检测出来。
注:我之前问过一个类似的问题,但这次我有了一个我设法思考的理论;)
浏览 3提问于2011-10-30得票数 1
回答已采纳
5回答
目前,越来越多的人开始使用MySQL。这是我还没有太过大惊小怪的东西,但我现在想用它写一些脚本。
我的问题很简单,我做了一个搜索脚本,只是想知道我的php代码是否可以防止一些SQL注入。代码:
$orig = $_POST['term'];
$term = mysql_real_escape_string($orig);
$sql = mysql_query("select * from db1 where content like '%$term%' ");
这样可以吗?或者,如果有人有更简单/更好/更安全的方法,请随时让我知道。
浏览 3提问于2011-04-21得票数 1
回答已采纳
1回答
我目前正在修复我的项目中的一些SQL注入错误。
下面是我当前的sql字符串:
String sql = "select * from :table order by storenum";
下面是我如何设置参数:
SQLQuery query = sess.createSQLQuery(sql).setParameter("table", table);
(表是通过方法传入的字符串)
每当我运行这个程序时,我都会得到这样的信息:
select * from ? order by storenum
浏览 2提问于2021-12-22得票数 1
回答已采纳
我正在努力减少我的web应用程序的漏洞,这样我的web应用程序就可以不受SQL注入的影响。那么,我可以使用触发器来减少一些SQL注入攻击吗?
浏览 2提问于2015-09-28得票数 0
回答已采纳
我一直在比较combobobox值和SQL列。我正在尝试用C#从VS2010中做到这一点。我使用的是SQL Server 2008。
请在下面找到我的SQL表。
Rings NR Name Dia
=======================
10 12 a 15
10 24 b 18
10 15 c 21
10 9 d 24
10 7 e 15
10 19 f 18
10 33 g 2
浏览 0提问于2013-03-28得票数 0
我得到了这个错误- ORA-01747:无效的user.table.column、table.column或列规范
这是我的密码-
private void updateAttendance(){
MyQuery mq=new MyQuery();
Connection con=mq.getConnection();
Statement st;
ResultSet rs;
try{
st=con.createStatement();
rs=st.executeQuery("Select STU_ID FROM ST
浏览 1提问于2016-05-31得票数 1
回答已采纳
3回答
如果在codContract参数中插入引号“,则会收到以下错误。
数据库查询错误。原因: java.sql.SQLSyntaxErrorException: ORA-00972:标识符太长
该错误可能存在于mappers/ while ence.xml中,错误可能涉及到com.iv.queryinterface.AssistenzaMapper.getTitlesFromCodContratct-Inline,错误发生在设置参数时
SQL:
SELECT t.id_title,
c.des_lastname,
c.des_firstname,
浏览 10提问于2018-01-16得票数 0
我有一个网站上的ajax搜索功能,可以过滤和显示任务。我可能想要查看我的任务和其他任务,或者只查看我的任务,或者只查看其他任务。
我根据ajax请求传递的参数附加sql字符串。
在服务器端,它看起来像这样的 (但显然经过了适当的杀毒)。
有没有更好的方法来达到链接答案中所示的相同目的?我在这里简化了场景。有许多过滤器可以在任何组合中使用。我无法想象,当使用带有大量选项的搜索和过滤功能时,这就是创建sql的方式。
浏览 0提问于2013-09-13得票数 0
2回答
在我的应用程序(PHP)中,我将从API请求3000行,并使用PDO驱动程序将这些行插入到MySQL表中。
虽然要插入的数据不是用户输入,但数据是如何传递给我的,这是我力所能及的。
因为~3000插入尽可能快是很重要的,所以我想使用像so (?,?,?),(?,?,?),...这样的多个insert。
我在想,执行多个插入是否会影响MySQL注入的漏洞?因为我使用PHP代码“构建”查询。
我的“测试”代码是:
<?php
class DBCon {
private static $instance = null;
private $db;
浏览 5提问于2016-04-14得票数 0
回答已采纳
我对C#和SQLite数据库很陌生,有一些变量要和TimeStamp一起存储在SQLite数据库中。下面是我的代码:
DateTime now = DateTime.Now;
m_dbConnection = new SQLiteConnection("Data Source=MyDatabase.sqlite;Version=3;");
m_dbConnection.Open();
var sql = string.Format("insert into Table (Timestamp) values ({0})", now)
浏览 29提问于2017-02-28得票数 2
我知道,为了防止所有或大多数SQL注入攻击,您应该使用参数化查询。我使用Hibernate已经有一段时间了,而不是手工编写SQL语句。是否有任何已知的攻击或研究是针对利用这一层?
浏览 0提问于2010-12-09得票数 19
回答已采纳
我可以使用参数来避免所有的SQL注入攻击吗?
在这种情况下,不用担心SQL注入中的任何事情?
或者,是否有某些类型的攻击需要程序员更多的关注?
浏览 2提问于2010-09-17得票数 8
回答已采纳
假设登录表单调用的sql查询是:
SELECT * FROM Users WHERE Name ='user input data' AND Pass ='user input data'
现在,用户输入数据中的所有单引号都被双引号替换(换句话说,‘被’替换为‘.’。)。
我可以想到这种可能的sql注入:将用户设置为预期用户,并将密码设置为'\‘或1=1
但我想不出如何避免最后一次中断我的sql注入。
浏览 2提问于2016-03-07得票数 0
7回答
我发现SQL注入字符串通常是这样构造的:
' ; DROP DATABASE db --
因此,如果我不允许在我的应用程序的输入中使用分号,这是否可以100%防止任何SQL注入攻击?
浏览 0提问于2011-07-23得票数 9
回答已采纳
我从我的DAO类中获得了以下异常
baseDataList=new JdbcTemplate().query(sql, rowMapper);
原因如下:
java.lang.IllegalArgumentException:未指定DataSource
我已经在application.properties中声明了与DB连接相关的所有属性。
浏览 0提问于2018-09-23得票数 0
2回答
如果我们用jpa保存一个对象,比如:session.persist(student);,这是不是另存为预准备语句?另外,这是否避免了sql注入?
浏览 2提问于2013-07-26得票数 0
1回答
bool MySql_Register(const char* id, const char* pw) {
MYSQL* connect_ptr;
connect_ptr = mysql_init(NULL);
if(!mysql_real_connect(connect_ptr, HOST, USER, PW, NAME, 3306, NULL, 0)) {
fprintf(stderr, "%s ",mysql_error(connect_ptr));
exit(1);
}
char sql[256] = {0};
sprintf(
浏览 2提问于2016-04-27得票数 0
我是否有理由使用sqlite3_bind_int()函数?在准备函数执行之前传递整数变量可以吗?
示例A(伪码):
// prepare statement
sstream s;
s << "insert into TABLE values(" << 1 << "," << 2 << ",?)";
//...
const char *sql = ... // sql is equal to "insert into TABLE values(1, 2, ?)";
Prep
浏览 2提问于2016-04-20得票数 1
回答已采纳
我有一个表单,并通过AJAX发布到file.php,如下所示:
<?php
$sql = $db->prepare("INSERT INTO warna SET id_warna='', nm_warna=? ");
$sql->bind_param("s", $nm_warna);
$sql->execute();
?>
安全吗?或者我该怎么做才能保证安全?
浏览 5提问于2016-10-08得票数 0
回答已采纳
我看到了以下代码:
$id = $_GET["user"];
$auth = $_GET["id"];
$sql = 'DELETE FROM categories where user_id = '.$id.' and category_id = '.$auth;
Yii::app()->db->createCommand($sql)->execute();
有人告诉我,这段代码不好,因为它不允许sql注入。
是因为$_GET没有被正确过滤吗?
Yii::app()->db-
浏览 10提问于2012-01-10得票数 1
回答已采纳
5回答
我正试图在Laravel创建restAPI。如何从SQL注入中保护这样的sql查询?
Route::get('api/restaurant/id/{id}', 'RestaurantController@getRestaurantById');
public function getRestaurantById($id) {
$restaurant = Restaurant::where('id', $id)->first();
return $restaurant;
}
浏览 8提问于2020-02-21得票数 4
回答已采纳
我使用的是SQL服务器,需要通过Python脚本运行以下SQL
SELECT DISTINCT LEN(Wav)-CHARINDEX('.', Wav) FROM <>;
我试着玩这个字符串,但是我想不出如何绕过这个圆点字符。
sql = 'SELECT DISTINCT LEN(Wav)-CHARINDEX({}, Wav) FROM xxx'.format('.')
print(sql)
cursor = conn.cursor()
cursor.execute(sql)
知道怎么解决这个问题吗?
谢谢
浏览 3提问于2021-02-24得票数 1
回答已采纳
1回答
我在使用时遇到了一个错误--我想这就是问题所在,mysql_fetch_assoc。
<?php
$buildingNames = $_POST['buildingName'];
$roomId = $_POST['roomId'];
$sql = mysql_query("SELECT *
FROM forestcourt
WHERE buildingName=$buildingNames AND
id
浏览 1提问于2013-09-16得票数 0
回答已采纳
OleDbCommand commandtwo = new OleDbCommand("SELECT * from tblShowings WHERE ShowFilmID = " + filmID.Text + " AND Showdate = " + date.Text + " AND Showtime = " + time.Text + "", con);
我的SQL查询有什么问题?我一直在犯这个错误:
System.Data.OleDb.OleDbException:“查询表达式中的语法错误(缺少操作符)”ShowFil
浏览 0提问于2019-12-24得票数 0
回答已采纳
1回答
我必须使用以下变量在PgSQL表中插入几个值
$knr = $reader->getAttribute('Nr');
$kname = $reader->getAttribute('Name');
这个插入代码是:
$SQL = "";
$SQL .= "SELECT
(konzern).knr AS knr, (konzern).name AS name
FROM konzern";
$SQL .= "INSERT INTO konzern (";
$SQL .= "knr, name"
浏览 2提问于2015-08-20得票数 1
回答已采纳
我有一个类被veracode扫描标记为SQL注入,即使我使用的是PreparedStatment。我不能确定问题出在哪里,或者这是否可能是扫描的误报。请参考下面的代码(QueryBuffer是一个使用StringBuffer的自定义类): List<ReferralService> list = new ArrayList<ReferralService>();
QueryBuffer sql = new QueryBuffer();
sql.addSql("SELECT rs.id FROM referral_service rs ");
sql.a
浏览 9提问于2019-04-04得票数 0
2回答
我使用了大量的动态SQL -我认为必须有一些好的指导方针、框架和/或工具来帮助人们使用动态SQL查询。我正在寻找任何关于应该如何编写动态SQL查询的建议(没有简单地编写它,然后添加‘’ect的明显解决方案)。
这里的大问题是,有时它会变得混乱(动态sql,它包含另一个动态sql等)。
如果重要的话,我使用的是sql-server。
我将采纳我能得到的任何建议,谢谢!;)
浏览 12提问于2016-02-03得票数 0
我需要一个动态SQL语句,它应该对将作为变量传递给它的列进行聚合。但我发现了下面的错误。
伪代码如下:
DECLARE @sql nvarchar(max)
DECLARE @params nvarchar(max)
SET @sql = N'SELECT @Input1, @Input2, COUNT(ID) FROM Customers GROUP BY @Input1, @Input2'
SET @params = N'@Input1 nvarchar(225), @Input2 nvarchar(255)'
sp_executesql @sql, @
浏览 5提问于2022-11-06得票数 0
回答已采纳
如果我需要的话,我需要添加什么来避免sql注入?
public static Login GetLoginByName(string name)
{
var context=new telephonyEntities1();
Login t = (from l in context.Logins
where l.login1==name
select l).FirstOrDefault();
return t;
}
浏览 1提问于2011-05-05得票数 2
回答已采纳
2回答
我读过关于sql注入的文章,在那里我看到它们使用站点的查询字符串来攻击它们。我想知道使用查询字符串是否安全,以及如何通过sql注入使我的站点稳定?
浏览 0提问于2014-02-07得票数 0
回答已采纳
我正在尝试连接到数据库。当我执行一个简单的Select *时,它可以工作,但当我添加一个WHERE子句时,它不再正常工作,并显示它无法连接。列名是正确的,并且我确信数据库中有一个姓Lee。为什么这在执行简单的select操作时会起作用,而不是在有where子句的情况下呢?
Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
Dim connetionString As String
Dim oledbCnn As OleDbConnection
Dim ole
浏览 3提问于2014-05-16得票数 1
2回答
数据挖掘/检索问题
、、、、
我们的SQL Server 2005数据库有近100个不同的表。我们将提供一个根据用户定义的过滤器搜索某些信息的功能。我们的过滤器配置将非常复杂。用户可以轻松地创建一个筛选器,该筛选器可以连接20多个具有复杂条件的表。
为了降低连接的复杂性,我们计划创建两个SQL Server视图。但该解决方案本身似乎不足以简化SQL。我们将根据过滤器配置生成SQL。SQL将动态生成。(我不确定SQL…会有多长时间SqlCommand是否有最大长度限制?)SP是另一种选择...
你有没有遇到过类似的情况?你对我有什么好的建议/解决方案吗?
谢谢!
浏览 0提问于2011-03-30得票数 0
回答已采纳
我第一次使用PostgreSQL后缀。这也是我很长时间以来第一次使用SQL数据库。
我一直在研究如何提高一些SQL查询的性能和安全性。我偶然发现了sequelize.query()方法,并为此目的开始使用它。
这种使后缀易受SQL注入影响的方法吗?
浏览 2提问于2019-09-25得票数 7
回答已采纳
我使用的ef核心版本是:3.0,我编写的代码如下所示:
SqlParameter table = new SqlParameter("@tableName", tableName);
SqlParameter entryId = new SqlParameter("@entryId", id);
string sql = "delete from @tableName where id = @entryId";
context.Database.ExecuteSqlRaw(sql, table , entryId);
我的sql语句有两个参数,我
浏览 2提问于2019-12-05得票数 3
回答已采纳
$s = "Update member_date" [snip]
$p = $pdo->prepare($s, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$p->execute();
这是否被认为是一条“准备好的”语句,以证明它不会受到SQL注入类型的攻击?
更新:
$member_id= htmlspecialchars($_GET['member_id']);
s1 = "
update member_date
set member_date= now()
where memb
浏览 3提问于2017-02-05得票数 0
1回答
我试着用库ScalikeJDBC ()再现SQL插值的示例。
val member = sql"select id, name from members where id = ${id}"
println(member.statement)
但我得到了一个奇怪的结果:
select id, name from members where id = ?
我错过了什么?
编辑和回答:
我试着调试为什么我的sql查询不能使用字符串内插,所以我打印了查询的值。我得到了这个结果,但我没有检查它是否还好。问题是,我必须在我想要用于插值的字符串上使用SQLSyntax.createUnsaf
浏览 0提问于2018-05-16得票数 1
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
腾讯云开发者
