N'some string' in SQL Server是什么意思?我的意思是如果我能用它来防止SQL Injection
例如:
... LIKE N'%somePattern%'
SQL Injection安全吗?
浏览 3提问于2017-03-04得票数 0
回答已采纳
3回答
如何将表名作为参数放入SQL查询中,安全的方法是什么?不能使用将表名作为参数。可以使用使用动态表名来执行查询,但不建议使用该字符串来执行查询,因为它存在注入SQL的风险。做这件事的最佳方法是什么?
浏览 3提问于2016-10-06得票数 6
回答已采纳
1回答
我最近一直在查找SQL注入,它们是什么,它们做什么,以及如何阻止它们。大多数地方讨论的是用户存储在select雄蕊中的用户名,这会导致'OR 1‘这样的问题,但是如果我只使用自动递增的id从数据库中选择信息,而不是用户输入值,这也会阻止sql注入吗?
浏览 2提问于2014-01-26得票数 0
回答已采纳
我在网上搜索,但我找不到可靠的答案。LINQ to NHibernate是否易受SQL注入和其他原始SQL攻击?如果是,说明如何避免此类数据库攻击的代码是什么?
浏览 1提问于2012-02-29得票数 4
回答已采纳
1回答
我有以下代码,这些代码是由我的web项目中的其他人编写的:
StringBuilder sql = new StringBuilder("");
// Define sql
sql.Append("SELECT title ");
sql.Append("FROM MyTable ");
sql.Append(string.Format("WHERE id = {0} AND Var = '{1}'", myId, myVar));
DataTable dtGro
浏览 2提问于2012-12-01得票数 0
2回答
使用错误页防止SQL注入
、、、
可能重复:
我想知道通过URL参数防止SQL注入的最佳方法是什么?例如,如果用户访问了'50
我被告知上面带有参数的URL允许残酷的SQL注入,那么防止这种情况发生的最佳方法是什么呢?
当“或死”发生时,是否会将用户发送到错误页以防止这些SQL注入?
浏览 8提问于2011-10-26得票数 0
我习惯于在PHP/MySQL中进行开发,没有开发SQL Server的经验。我已经浏览过文档,在我所读到的一些方法中,它看起来类似于MySQLi。
例如,对于MySQL,我使用函数。PHP/ Server是否有类似的功能?
为了防止SQL注入使用Server,我需要采取哪些步骤?
Server与MySQL之间关于SQL预防的区别是什么?
还有- 的帖子准确吗?Server的转义字符串字符是单引号吗?
浏览 18提问于2010-04-09得票数 13
回答已采纳
非常简单的一段代码;接受用户输入的名称(引号/撇号是有效的),然后将其存储在mysql db中;
$this->sql = new mysqli($this->host, $this->user, $this->pass, $this->dbname);
$firstname = $this->sql->real_escape_string($firstname);
$lastname = $this->sql->real_escape_string($lastname);
$sql = "INSERT INTO users
浏览 2提问于2015-10-28得票数 0
回答已采纳
1回答
$query = $this->db->prepare("INSERT INTO `images` (`anunt`, `image_location`) VALUES(?, ?)");
$query->bindValue(1, $iddd);
$query->bindValue(2, $image_location);
try{
$query->execute();
或者这个
$ret = sql_query("INSERT INTO images (anunt, i
浏览 3提问于2014-05-15得票数 0
回答已采纳
最近发布了,它似乎鼓励在客户端编写查询。
是什么使编写GraphQL查询客户端安全,而不是编写SQL查询?
GraphQL不接受注射吗?
如果让您的查询客户端非常有用,为什么不让SQL的一个版本不接受注入呢?
浏览 6提问于2015-08-30得票数 16
1回答
在使用PDO准备语句时,是否使用filter_input()或任何类似的验证/卫生功能过高:
$sql = "SELECT count(*) FROM players_test WHERE email = :value";
$stmt = $pdo->prepare($sql);
$value = filter_input(INPUT_POST, 'signupEmail', FILTER_SANITIZE_STRING);
$stmt->bindParam(':value', $value, PDO::PARAM_STR);
$
浏览 2提问于2016-09-07得票数 1
回答已采纳
2回答
我正在ASP.NET MVC C#上开发一个C#应用程序,我很好奇使用存储过程/函数是否可以阻止SQL和xsxx攻击?我想对用户输入的数据进行某种消毒,但我不知道他们最好的方法是什么。
如果我需要进行一些数据清理,那么最好的方法是什么呢?
浏览 2提问于2016-06-15得票数 0
回答已采纳
我想知道是否可以在一个或调用中通过Perl 使用执行多个SQL语句。示例:
# Multiple SQL statements in a single query, separated by a ";"
$sql = 'UPDATE foo SET bar = 123; DELETE FROM foo WHERE baz = 456';
$sth = $dbh->prepare($sql);
$sth->execute;
# ...or...
$dbh->do($sql);
我这么问并不是因为我真的想做这样的事情,而是因为我想通过成功的S
浏览 3提问于2009-06-03得票数 2
回答已采纳
我试图向自己解释为什么XXE不属于注入类别,因为它是XML注入的一种形式。
XML外部实体是一种操纵XML解析器/解释器以实现某些数据(即文件系统中的文件)信息泄露的攻击。
SQL注入是一种操纵SQL解释以实现广泛目标的攻击,其中之一可能是某些数据的信息泄露。
一些组织甚至称XXE为注入攻击,并且OWASP确实在A1下列出了organizations。虽然我认为XXE在技术上并不是向解释器中注入任何命令,但这两个类别的数据流本质上是相同的:
📷
这些威胁本质上是相同的--信息泄露和拒绝服务,尽管很明显,通过SQL注入,您可以做得更多。
那么,你认为这一分歧的主要原因是什么?是否只是为了提高人们
浏览 0提问于2018-05-12得票数 2
回答已采纳
4回答
注入的定义
SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序,其中恶意SQL语句被插入入口字段以执行(例如将数据库内容转储给攻击者)。
SQL注入如何影响AndroidO.S
安卓应用程序中使用的SQLite是功能齐全的数据库,因此就像Server或MySQL框一样,它们也容易受到SQL注入的影响。SQL注入通常通过将数据添加到查询字符串或在表单字段中添加数据来工作;允许黑客访问数据库或未经授权的登录。SQL注入通常用于攻击Web视图或web服务,但也可用于攻击活动。
SQL注入漏洞的根本原因是使用动态或连接SQL查询。如果SQL查询是通过连接用户提供的输入来构造的,则用户可以提供S
浏览 2提问于2015-05-22得票数 5
2回答
我正在使用WCFMVC3和EF4.1以及asp.net Azure。我正在为我的应用程序构建搜索引擎。并使用动态Linq来构建查询。在这种情况下,我想避免sql注入。同样的最佳实践是什么?在这种情况下,我应该做些什么准备工作?
浏览 1提问于2011-12-02得票数 2
回答已采纳
1回答
String qstr = "select * from users where user_type=?1 offset ?2 limit ?3"
Query query = entityManager.createNativeQuery(qstr, User.class);
query.setParameter(1, type);
query.setParameter(2, offset);
query.setParameter(3, limit); 这里的type、offset和limit是用户输入。 Sonarcube在createNativeQuery上展示了sql注
浏览 185提问于2021-07-13得票数 0
如comment_controller.rb所示:
def create
@comment = Comment.new(params[:comment])
@comment.save
end
我假设这是SQL注入-不安全。但是,正确的方法是什么呢?网络上所有的例子都是关于查找的。
浏览 4提问于2010-01-27得票数 7
1回答
我正在尝试使用类似于以下内容执行原始sql查询
def dataSource;
Sql sql = new Sql(dataSource);
但是,这似乎是在一个独立的事务中运行的。因此,它遗漏了服务方法中在它之前所做的所有(未提交的)更改。
在当前事务中运行原始sql查询的最佳方式是什么?
浏览 0提问于2013-05-12得票数 3
回答已采纳
1回答
在SQL语句中通过%s提供元组(名称)的正确方法是什么?
names = ('David', 'Isaac')
sql = 'SELECT * from names WHERE name IN %s'
cur.execute(sql,(names,))
中的响应适用于psycopg2,但在pg8000中不起作用。
谢谢!
浏览 4提问于2016-02-03得票数 4
回答已采纳
2回答
检查用户是否在表单字段中输入恶意代码的最佳方法是什么?我看过其他问题,但这些只是检查输入了什么,是否是他们想要的(电话号码)。在电话领域)。我正在寻找免受SQL注入的保护。
浏览 4提问于2017-08-05得票数 1
回答已采纳
1回答
SQL程序集和SQL注入
、、、
我有几个SQL CLR项目作为程序集添加到我的SQL Server2005中。它们是通过存储过程从我的web应用程序中访问的,这些存储过程触发了程序集。
在我的SQL程序集中防止SQL注入的最佳实践是什么?
这些程序集有一堆构建疯狂SQL语句的代码(示例):
sqlBuff.Append("SELECT ");
// Always put replicate weight values on the first.
sqlBuff.Append(colBuff.ToString());
sqlBuff.Appen
浏览 3提问于2012-11-30得票数 3
回答已采纳
我很早就开始学习SQL,但我遇到了SQL注入的主题,并且理解参数可能是防止它们的最佳方法。但我找不到任何解释他们到底是什么。
例如,在ASP.NET中的这段代码中(来自w3schools):
txtUserId = getRequestString("UserId");
sql = "SELECT * FROM Customers WHERE CustomerId = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txtUserID);
comma
浏览 1提问于2014-10-27得票数 1
3回答
<?php
$user = 'john';
$pwd = "' OR ''='";
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'";
echo $sql.'<br />';
// escape username and password for use in SQL
$user = mysql_rea
浏览 2提问于2013-07-29得票数 1
回答已采纳
10回答
如何帮助我们防止攻击?
维基百科说:
准备好的语句对SQL注入具有弹性,因为稍后使用不同协议传输的参数值不需要正确转义。如果原始语句模板不是从外部输入派生的,则不能进行SQL注入。
我看不清楚原因。在简单的英语和一些例子中,简单的解释是什么?
浏览 29提问于2011-11-24得票数 223
回答已采纳
1回答
我正在尝试允许用户将CSV文件上传到我的数据库。我想知道MySqlBulkLoader是否可以防止SQL注入?
如果没有,解析文件和删除任何sql注入代码的最佳方法是什么?
提前谢谢。
浏览 1提问于2012-05-15得票数 0
3回答
这不会受到SQL注入的影响:
Guest.where(:event_id => params[:id])
我在不做任何类型的清理的情况下发送params[:id]。
总的来说,所有这些activerecord方法都是安全的吗?(如where、joins等)
如果不是,安全的最佳实践是什么?另外,有什么我应该注意的警告/边缘案例吗?
谢谢
浏览 0提问于2014-03-04得票数 12
回答已采纳
6回答
嗨,我正在从一个下拉列表中获取id值,并将其传递给一个代码隐藏方法,该方法将值传递给sql进行一些操作。
我想知道这是不是正确的方法。
如果不是,那么为什么不呢?人们如何使用sql注入来注入它,以及解决方案是什么。
protected void Drop1_SelectedIndexChanged(object sender, EventArgs e)
{
int abcID;
abcID= Convert.ToInt32(drop1.SelectedItem.Value);
stri
浏览 0提问于2013-05-13得票数 1
我希望在应用程序中使用SSRS生成报告,我发现使用带有SSRS报告中定义的SQL的数据集是非常有限制的。据我所知,我可以通过将SQL查询作为参数传递给报表并将dataset设置为使用该参数作为SQL查询来解决此问题。我确实知道这类动态SQL通常不受欢迎,但我需要看看我的选择是什么。
这里有一些背景知识,我的推理是我有一些非常复杂的查询,并且在我的PHP应用程序中有很多构造(连接、子查询等)。抽象出来,使得更容易制定查询,还可以在应用程序的不同部分中重用子句。我可能可以使用函数在报表构建器中实现相同的功能(仍然需要动态sql),但我仍然会复制PHP中已有的一些东西(请记住,特定的语言是无关紧要的
浏览 0提问于2014-02-22得票数 1
6回答
我发现有很多工具可以将密码、美元和各种东西注入其他网站。
然而,我敢肯定,没有一个会对我网站上的所有表单起作用。
因此,我想手动测试我的站点是否有SQL注入。
在我的网站上尝试SQL注入的好方法是什么?
是否需要数据库的名称、用户名和密码?我需要知道SQL端口号吗?我该如何开始?
浏览 8提问于2011-07-10得票数 5
5回答
有人知道web应用程序中没有SQL注入漏洞的一个好例子吗?该攻击的用户输入是什么?我正在寻找一个真正的弱点,而不是猜测。以下是对车牌读取摄像机进行推测攻击的示例:
📷
当然还有很好的老鲍比桌子。这很有趣,但也不现实。最明显的违规之一是绝大多数sql注入无法使用查询堆栈。
📷
浏览 0提问于2011-05-19得票数 10
3回答
可能重复:
有人知道web应用程序中没有SQL注入漏洞的一个好例子吗?该攻击的用户输入是什么?我正在寻找一个真正的弱点,而不是猜测。下面的图片是一个推测攻击的例子。
浏览 4提问于2010-04-26得票数 2
回答已采纳
2回答
防御T-SQL注入
、、、、
很抱歉,如果这看起来是一个愚蠢的问题,但是使用参数如何防御SQL注入,与T-SQL相关的最佳实践是什么:
例如:这是最佳实践吗?
SqlCommand SqlCmd = new SqlCommand("SQL Command @X ....... @Y");
SqlCmd.CommandType = CommandType.Text;
SqlCmd.Parameters.AddWithValue("@X", SqlDbType.VarChar).Value = X;
SqlCmd.Parameters.AddWithValue("@Y", Sql
浏览 2提问于2013-04-25得票数 1
回答已采纳
2回答
假设您使用以下SQL查询创建一个名为notes的表并在其中存储数据: CREATE TABLE notes (
id INTEGER PRIMARY KEY,
username TEXT,
token TEXT,
text TEXT
);
INSERT INTO notes (username, token, text) VALUES ('alice', 'token-a', 'Reminder: buy milk');
INSERT INTO notes (username, token, text) VALUES ('alice&#
浏览 27提问于2020-08-28得票数 0
2回答
SQL注入攻击损害数据库的示例是什么?
哪些类型的SQL注入攻击不能通过使用绑定变量来防止,为什么不能呢?
绑定变量如何帮助防止SQL注入攻击?
浏览 0提问于2013-08-14得票数 1
2回答
参数化查询基础
、、
我使用过参数化查询次数,我知道它有助于防止SQL注入。但是,我想知道什么是在参数化查询中工作的基本逻辑,以防止SQL注入--这可能非常简单,但我不知道。我试着搜索google,它的基础是什么,但是每次我发现一个如何在Asp.net中使用参数化查询的例子。
我知道如何创建一个特殊的类来停止在SQL注入中使用的(',--等)特殊字符,但是仅仅停止特殊字符会完全阻止SQL注入吗?
最后一件事是.net参数化查询可以完全停止SQL注入吗?
浏览 15提问于2010-12-15得票数 2
回答已采纳
我使用Codeigniter,这就是我在MySQL中调用存储过程的方式: public function InsertDataSistra($NumPart, $typeChild){
$sql = $this->db->query("CALL PYCC_InsertDataSistra('$NumPart', '$typeChild')");
} 但是我需要在SQL Server中调用一个带参数的存储过程。我在SQL server中的SP是: CREATE PROCEDURE CantidadReal_PRMS
浏览 24提问于2021-01-27得票数 0
别担心,这个问题不是一段代码,而是一个“它安全吗?”
Sql包含单词/命令,如BEGIN、FOR、LOOP、DECLARE等&看起来完全不同。我还没有研究过它(还没有),但是我的代码中没有一个sql行(我还没有检查插件,但我确信WP插件使用WP函数)。
我的问题:如果我不使用,我是否再次安全地进行了SQL注入?我只使用PHP、WP函数(用于通信数据库)和许多与数据库无关的其他语言。可湿性粉剂功能安全吗?
对于熟悉SQL的人来说,这似乎很愚蠢,关于SQL注入有很多材料,但我找不到答案,我真的找不到答案。
我所说的WP函数是什么:update_post_meta(); get_user
浏览 1提问于2015-11-30得票数 1
回答已采纳
1回答
对于能够使用ASP.NET、MVC和C#支持多个数据库层的存储库,骨架设计会是什么样子的?我想看看如果我同时支持LINQ to SQL和NHibernate,设计会是什么样子。我如何创建我的数据库对象,并在我的BLL层中调用它的方法?
浏览 0提问于2009-07-03得票数 1
3回答
这是sql注入错误吗?
、、、、
我想知道这个sql注入错误还是什么?有什么分贝?mssql?
数据库错误发生
Error Number: 1054
Unknown column '20and' in 'where clause'
查询 :-
select * from static_info where main_id=60%20and
and language_code='az' order by id desc
地点 :-
Filename: /home/test/public_html/controllers/welcome.php
Line Number: 115
浏览 3提问于2015-01-07得票数 0
1回答
我想写一个安全的简单的存储过程,它可以根据存储过程提供的一些参数从数据库表中选择一些列。 我尝试了两种编写存储过程的方法。 第一种方式为: CREATE PROCEDURE SPBasic
@id int,
@value int
AS
BEGIN
SELECT Id, name, design
FROM SimpleTable
WHERE ID = @id AND value = @value;
END
GO 第二种方式为: CREATE PROCEDURE SPBasic
@id int,
@value int
AS
BEGIN
浏览 26提问于2020-04-21得票数 1
2回答
我有一篇关于SQL注入的文章(它是什么--它是如何完成的,以及如何避免它)。我明白它是什么以及它是如何工作的。但我似乎无法在我的数据库上复制一个注入。
我使用mysql工作台创建了一个非常简单的数据库,用于视频俱乐部。电影-股票-价格-顾客,购物车等。我还制作了一个非常简单的html页面,我可以从其中添加电影-查看我的库存,等等。
因此,我有一个txt字段,在其中我输入了一个电影名,我得到了一些信息,为这个特定的电影。
获取我输入的名称并进行查询的代码是:
$name = $_POST ['txtfld'];
$sql = ("SELECT * FROM test_ta
浏览 8提问于2013-02-27得票数 0
回答已采纳
3回答
我最近被告知(在这里),连接您的Javascript将导致XSS漏洞。我已经在这里和谷歌上做了我的研究,以找出为什么如此糟糕,但我没有看到它。
第1部分- Javascript:显然是这样的不安全方式。为什么?你应该怎么做呢?
// part of a script dynamically making table rows
var el = document.createElement('div');
el.innerHTML = '<input type="text" id="myId'+id+'" />
浏览 6提问于2011-12-05得票数 4
回答已采纳
我正在尝试参数化postgresql查询,以防止在我的rails应用程序中注入SQL。SQL查询将根据输入在我的表中求和不同的值。
下面是我的函数的简化版本:
def self.calculate_value(value)
calculated_value = ""
if value == "quantity"
calculated_value = "COALESCE(sum(amount), 0)"
elsif value == "retail"
calculated_va
浏览 3提问于2020-12-14得票数 0
我需要在SQL Server数据库中同时插入多行(1000行)。我认为最好的方法是使用SqlBulkCopy,但我不确定如何参数化insert查询以避免SQL注入。
你能帮帮我吗?执行多个insert语句的最佳方式是什么(SQL注入安全)?
谢谢。
浏览 0提问于2015-05-13得票数 6
当将值传递给Sybase查询时,在Perl中避免SQL注入的最佳方法是什么?
我担心我的Perl代码中连接到Sybase的"Bobby“SQL注入问题。
显然,做这样的事情:
my $var = $ARGV[3]; # Example! I use Getopt for real
my $sql = "select * from table1 where key1='$var'";
$sth = $dbh->prepare($sql);
$sth->execute();
..。这是非常糟糕的,因为用户可能会在命令行中将像1'\
浏览 6提问于2013-06-13得票数 2
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
腾讯云开发者
