Administratorzy baz danych sql-injection

6

Czy procedury przechowywane zapobiegają iniekcji SQL?

Czy to prawda, że procedury przechowywane zapobiegają atakom typu SQL injection na bazy danych PostgreSQL? Zrobiłem trochę badań i odkryłem, że SQL Server, Oracle i MySQL nie są bezpieczne przed iniekcją SQL, nawet jeśli używamy tylko procedur przechowywanych. Jednak ten problem nie występuje w PostgreSQL. Czy implementacja procedury składowanej w …

83 postgresql security sql-injection

1

Wstrzyknięcie SQL w funkcjach Postgres a przygotowane zapytania

Czy w Postgres przygotowane zapytania i funkcje zdefiniowane przez użytkownika są równoważne jako mechanizm zabezpieczający przed wstrzyknięciem SQL ? Czy są jakieś zalety jednego podejścia względem drugiego?

30 postgresql plpgsql prepared-statement sql-injection functions

2

Dlaczego wstrzyknięcie SQL nie występuje w przypadku tego zapytania w procedurze przechowywanej?

Wykonałem następującą procedurę przechowywaną: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Teraz próbowałem zrobić coś takiego. Może robię to źle, ale chcę mieć pewność, że taka procedura może zapobiec iniekcji SQL: EXEC …

18 sql-server sql-server-2008 dynamic-sql sql-injection

2

Jak wstawić buźki do MySQL (😊)

Korzystam z MySQL 5.5.21 i próbuję wstawić znak buźki „\ xF0 \ x9F \ x98 \ x8A”. Ale przez całe życie nie mogę wymyślić, jak to zrobić. Według różnych forów, które czytałem, jest to możliwe. Ale ilekroć spróbuję, dane są po prostu obcięte. mysql> INSERT INTO hour ( `title`, `content`, …

18 mysql character-set sql-injection

4

Dlaczego chcesz uniknąć dynamicznego SQL w procedurze przechowywanej?

Słyszałem, że jeden powiedział, że nie chcesz używać dynamicznego SQL. Czy możesz podać konkretny przykład lub przykład z życia? Osobiście koduję go kilka razy w mojej bazie danych. Myślę, że jest OK, ponieważ jest elastyczny. Domyślam się, że chodzi o SQL Injection lub Performance. Coś jeszcze?

13 sql-server performance stored-procedures dynamic-sql sql-injection

3

Czy jest jakiś sposób na wyrwanie się z łańcucha i wstrzyknięcie SQL bez użycia pojedynczego cudzysłowu w oracle?

Testuję aplikację opartą na wyroczni i znalazłem następujący kod: Zapytanie = "WYBIERZ imię i nazwisko pracowników, GDZIE id = '" + PKID + "';" tzn. ciąg zapytania zawiera cudzysłowy wokół wartości PKID, która jest uzyskiwana bezpośrednio z adresu URL. Oczywiście jest to klasyczny wstrzyknięcie SQL, które czeka ... z wyjątkiem …

12 oracle sql-injection

1

Jaka funkcja cytuje identyfikator w dynamicznym SQL z SQL Server?

Jaka jest metoda SQL Server bezpiecznego cytowania identyfikatorów do dynamicznego generowania kodu SQL. MySQL ma quote_identifier PostgreSQL ma quote_ident Jak zapewnić otrzymanie dynamicznie generowanej nazwy kolumny dla dynamicznie generowanego oświadczenia, że sama kolumna nie jest atakiem wstrzykiwania SQL. Powiedzmy, że mam instrukcję SQL, SELECT [$col] FROM table; który jest zasadniczo …

11 sql-server security sql-injection

1

Czy nadal powinniśmy używać QUOTENAME do ochrony przed atakami iniekcyjnymi?

Patrzyłem dziś na starą procedurę składowaną i zauważyłem, że używała quotenameparametrów wejściowych. Po kilku kopaniach, aby dowiedzieć się, co to dokładnie zrobiłem, natknąłem się na tę stronę . Teraz rozumiem, co robi i jak go używać, ale strona twierdzi, że jest on używany jako środek łagodzący ataki SQL Injection. Kiedy …

9 sql-server-2008 t-sql sql-injection

Pytania otagowane jako sql-injection