sql-injection相关内容
我一直$ P $的SO有关SQL查询中使用参数的善良paching既要我的同事在这里,尤其是在.NET应用程序。我甚至已经走了这么远,他们承诺为使免疫力对SQL注入攻击。 但我开始怀疑,如果这确实是真的。是否有任何已知的SQL注入攻击,这将是对参数化查询全成?例如,您可以发送导致该服务器上的一个缓冲区溢出一个字符串? 当然还有其他方面的考虑,以确保Web应用程序是安全的(如消毒用户输入和所有的
..
我目前正在写它使用AJAX在后端。前端和ASP.NET(C#)的应用程序 一小部分的应用程序并调用Ajax后端code(获得从SQL数据库条目) 如何JScript的注资prevent SQL? 我知道这是一般不安全的验证与JavaScript,因为JavaScript可以关闭,但因为这是一个AJAX调用,所以如果用户已关闭JavaScript的AJAX将不会运行。 请告诉我验证或转义输入
..
刚刚看完这堆栈溢出因而留给我想知道如果SQL注入有可能通过在CI的活动记录。 在大多数的地方在我的项目,用户注册和用户配置文件更新我做SQL插入这样的: 控制器: $ name = $这个 - >输入 - >后期('名'); $姓氏= $这个 - >输入 - >后期('姓氏'); $年龄= $这个 - >输入 - >后期(“DOB”); $ USER_
..
在红宝石的ActiveRecord不提供动态的更新绑定和插入sql语句,我当然可以使用原始SQL,但需要保持连接,所以我想知道是否有更简单的方法来逃避更新或执行前插入SQL像下面code: 的ActiveRecord :: Base.connection.insert(SQL) 我想我可以通过GSUB写code,但我知道,如果出现了一个现成的方法来做到这一点。 解决方案 你可以这样做
..
我实现一个简单的搜索功能,应检查字符串无论是在用户名,姓氏和FIRST_NAME。我已经看到了这个ActiveRecord的方法在一个旧RailsCast: http://railscasts.com/episodes/37-simple-search-form 找到(:所有,:条件=> ['?名LIKE“,”%#{搜索}%“]) 但我怎么做它,以便它搜索的名字,姓氏和名字的关键
..
这个问题仅仅是用于教育目的,因为我目前没有构建一个版本的SQL查询,用户输入的任何应用程序。 这是说,我知道,在ADO.NET你可以做这样的事情prevent SQL注入: OleDbCommand的命令=新的OleDbCommand(“SELECT * FROM表WHERE帐号= @ 2”,连接); command.Parameters.AddWithValue(“@ 2”,“ABC”);
..
我还在学习如何编写使用ActiveRecord的很好的查询。我很好奇,如果该查询是受到SQL注入的方式,因为我使用的查询日期字段。 有人可以指出任何明显错误或更好的方法来写这个查询? @arrangements_for_month = Arrangement.joins(:时隙)。 其中,(“timeslots.timeslot BETWEEN'#{月}”和“
..
接管一些code从我的predecessor,我发现使用Like运算符的查询: SELECT * FROM供应商 WHERE supplier_name像'%'+姓名+%“; 试图避免SQL注入问题和参数,但我不太清楚如何做到这一点来实现。有什么建议? 请注意,我需要为经典的ADO.NET的解决方案 - 我真的没有反超到了喜欢的东西LINQ关掉这个code 。 解决方案 试试这个:
..
中所见comment_controller.rb: 高清创建 @comment = Comment.new(PARAMS [:评论]) @ comment.save 结束 林假设这是SQL注入不安全的。但是,什么是做这件事的正确方法是什么?..所有在网上处理发现的例子。 解决方案 这code 是从SQL注入攻击安全。逃逸是通过ActiveRecord的完成,因此任何时
..
什么是Rails的方法,这些方法容易受到SQL注入,以及以何种形式? 例如,我知道其中,用字符串参数是脆弱的: Model.where(“NAME =#{PARAMS [:名}”)#不安全 不过,参数化字符串或散列是不是: Model.where(“NAME =?”,则params [:名称])#安全 Model.where(名称:PARAMS [:名称])#安全 我主要
..
似乎有关于SQL注入攻击有些歇斯底里。最近,这里 如果我要创建一个连接到Access数据库在Excel宏,难道我真的要担心SQL注入?这不是在网络上,它在我的办公室使用(你们还记得桌面吧?)。我不担心,我的同事会破坏我。如果他们足够聪明,做一个SQL注入,不是他们不够聪明破解我的外接密码,只需更改code? 解决方案 如果您正在构建SQL的宏,这是容易受到SQL注入。即使你相信将要使用的东西
..
我无法自拔的不写一些动态sql情况在我的系统(使用的Postgres)的一部分 我的问题是如何最好地避免SQL注入与我目前使用的方法。 编辑(推理):有很多列在一些表(一数目的增长(只)和其他地方维持)。我需要允许使用者决定哪个(predefined)柱他们要查询(如果必要,应用字符串功能)的方法。查询本身过于复杂,用户在写自己,也不必访问数据库。有1000的用户提供了不同的要求,我需要保持尽
..
我使用的MySQL Connector / Net和我想写反对他的名字会在运行时指定一个表的查询。 这个例子是把我的头(未测试)的顶部: 公共类数据访问 { 公共枚举LookupTable中 { 表格1, 表2, 表3 } 公众诠释GetLookupTableRowCount(LookupTable中表)
..
什么改变 SqlCommand.Parameters.AddWithValue()确实与查询? 我想到的是: 这是由 字符'替换每个“, 如果参数值是一个字符串或一些东西,必须将其转换为一个字符串,它由包围值,因此,例如 SELECT *从A其中B = @hello 会给 SELECT *从A其中B ='你好世界。 如果一个参数值是什么“安全”之类的整数,它是插在一个查询按原样,不带引
..
我用vb.net在Visual Basic 2010和使用查询从应用程序(的WinForms)编辑我的在线MySQL数据库。 下面是一个示例插入一个新的用户到数据库: MySQLCon.Open() 昏暗SQLADD作为字符串=“INSERT INTO成员(成员,玩家代号,角色)VALUES('”&放大器; memberToAdd.Text和放大器;“”,“”&放大器; membersGam
..
做实体框架功能自动跳脱输入,以防止注射? 在我的SQL数据库层,我有一个存储过程,它接受一个为nvarchar(max)作为输入。 在我的EDMX,该存储过程映射到一个函数导入为方法名(字符串输入) 我是否需要手动逃脱输入,以防止注射还是实体框架自动执行此操作? 解决方案 取决于... EF不会逃脱输入为你,所以你是安全的在大多数情况下。 但是,如果你创建动态SQL与输入的过程或调用另一
..
我继承了code,我修复的安全漏洞了。什么是用于处理SQL注入,当一个存储过程被称为最佳做法? 在code是这样的: StringBuilder的SQL =新的StringBuilder(“”); sql.Append(的String.Format(“Sp_MyStoredProc”{0}“,{1},{2}”,的sessionid,myVar的,“0”)); 锁(_lock) {
..
我想提出一个windows软件在C#。我看了一下 SQL注入,但我没有发现它正在我的应用程序。 执行SQL注入作品中的WinForms? 如果是如何prevent他们。 编辑: 我使用的是文本框,用于读取用户名和密码。并通过使用textboxex我发现,从文本框中的文本是双引号之间(“,”)。所以,我没有发现它是工作。 当我使用文本框行情“或”,文读作 \“或 \ 示例: .....
..
您好我想知道是否有人知道一些好的网站,详细说明prevention SQL注入的.NET Web应用程序中。任何资源将大大appricated,谢谢你。 解决方案 我认为,如果你google了一下关于“preventing SQL注入在.NET',你会发现很多很好的资源。 :) 总之,一件非常重要的事情,是不使用字符串串联,以建立查询。 相反,使用参数化查询。 ADO.NET允许做到这一点,
..
我有一个asp.net应用程序。在我有这个code: 使用(Data.connexion) { 字符串查询字符串= @“选择id_user,NOM,preNOM,邮件,登录,MDP,last_visite,id_group,id_user_status请从用户那里登录= @用户名和MDP = @ MDP”; SqlCommand的命令=新的SqlCom
..