Вопросы с тегом «sql-injection»

83
Предотвращают ли хранимые процедуры SQL-инъекцию?

Правда ли, что хранимые процедуры предотвращают атаки SQL-инъекций на базы данных PostgreSQL? Я провел небольшое исследование и выяснил, что SQL Server, Oracle и MySQL не защищены от внедрения SQL, даже если мы используем только хранимые процедуры. Однако эта проблема не существует в PostgreSQL....

18
Почему SQL-инъекция не происходит по этому запросу внутри хранимой процедуры?

Я сделал следующую хранимую процедуру: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Теперь я попытался сделать что-то вроде этого....

13
Почему вы хотите избежать динамического SQL в хранимой процедуре?

Я слышал, кто-то сказал, что вы не хотите использовать динамический SQL. Можете ли вы привести конкретный пример или пример из реальной жизни? Лично я несколько раз кодирую это в своей базе данных. Я думаю, что это нормально, потому что это гибкость. Я предполагаю, что SQL-инъекция или...

12
Есть ли способ вырваться из строки и ввести SQL без использования одинарных кавычек в оракуле?

Я тестирую приложение на основе оракула и обнаружил следующий код: Query = "ВЫБРАТЬ имя из сотрудников, ГДЕ id = '" + PKID + "';" то есть строка запроса содержит кавычки вокруг значения PKID, которое получено прямо из URL. Очевидно, это классическая SQL-инъекция, ожидающая выполнения ... за...

11
Какая функция заключает в кавычки идентификатор в динамическом sql с SQL Server?

Что такое метод безопасного цитирования идентификаторов SQL Server для динамического создания SQL? MySQL имеет quote_identifier PostgreSQL имеет quote_ident Как мне обеспечить заданное динамически генерируемое имя столбца для динамически генерируемого утверждения, что сам столбец не является атакой...

9
Должны ли мы по-прежнему использовать QUOTENAME для защиты от инъекционных атак?

Сегодня я просматривал старую хранимую процедуру и заметил, что она использует quotenameвходные параметры. После некоторых копаний, чтобы выяснить, что это делает, я наткнулся на этот сайт . Теперь я понимаю, что он делает и как его использовать, но на сайте написано, что он используется для...