Pytania otagowane jako sql-injection

6
Czy procedury przechowywane zapobiegają iniekcji SQL?
Czy to prawda, że ​​procedury przechowywane zapobiegają atakom typu SQL injection na bazy danych PostgreSQL? Zrobiłem trochę badań i odkryłem, że SQL Server, Oracle i MySQL nie są bezpieczne przed iniekcją SQL, nawet jeśli używamy tylko procedur przechowywanych. Jednak ten problem nie występuje w PostgreSQL. Czy implementacja procedury składowanej w …


2
Dlaczego wstrzyknięcie SQL nie występuje w przypadku tego zapytania w procedurze przechowywanej?
Wykonałem następującą procedurę przechowywaną: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Teraz próbowałem zrobić coś takiego. Może robię to źle, ale chcę mieć pewność, że taka procedura może zapobiec iniekcji SQL: EXEC …

2
Jak wstawić buźki do MySQL (😊)
Korzystam z MySQL 5.5.21 i próbuję wstawić znak buźki „\ xF0 \ x9F \ x98 \ x8A”. Ale przez całe życie nie mogę wymyślić, jak to zrobić. Według różnych forów, które czytałem, jest to możliwe. Ale ilekroć spróbuję, dane są po prostu obcięte. mysql> INSERT INTO hour ( `title`, `content`, …


3
Czy jest jakiś sposób na wyrwanie się z łańcucha i wstrzyknięcie SQL bez użycia pojedynczego cudzysłowu w oracle?
Testuję aplikację opartą na wyroczni i znalazłem następujący kod: Zapytanie = "WYBIERZ imię i nazwisko pracowników, GDZIE id = '" + PKID + "';" tzn. ciąg zapytania zawiera cudzysłowy wokół wartości PKID, która jest uzyskiwana bezpośrednio z adresu URL. Oczywiście jest to klasyczny wstrzyknięcie SQL, które czeka ... z wyjątkiem …

1
Jaka funkcja cytuje identyfikator w dynamicznym SQL z SQL Server?
Jaka jest metoda SQL Server bezpiecznego cytowania identyfikatorów do dynamicznego generowania kodu SQL. MySQL ma quote_identifier PostgreSQL ma quote_ident Jak zapewnić otrzymanie dynamicznie generowanej nazwy kolumny dla dynamicznie generowanego oświadczenia, że ​​sama kolumna nie jest atakiem wstrzykiwania SQL. Powiedzmy, że mam instrukcję SQL, SELECT [$col] FROM table; który jest zasadniczo …

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.