sql-injection相关内容

是参数真是够prevent SQL注入？

我一直$ P $的SO有关SQL查询中使用参数的善良paching既要我的同事在这里，尤其是在.NET应用程序。我甚至已经走了这么远，他们承诺为使免疫力对SQL注入攻击。 但我开始怀疑，如果这确实是真的。是否有任何已知的SQL注入攻击，这将是对参数化查询全成？例如，您可以发送导致该服务器上的一个缓冲区溢出一个字符串？ 当然还有其他方面的考虑，以确保Web应用程序是安全的（如消毒用户输入和所有的 ..

发布时间：2016-06-04 20:49:54 asp.net sql database sql-injection C#/.NET

最佳途径prevent SQL注入使用JavaScript或C＃？

我目前正在写它使用AJAX在后端。前端和ASP.NET（C＃）的应用程序 一小部分的应用程序并调用Ajax后端code（获得从SQL数据库条目） 如何JScript的注资prevent SQL？ 我知道这是一般不安全的验证与JavaScript，因为JavaScript可以关闭，但因为这是一个AJAX调用，所以如果用户已关闭JavaScript的AJAX将不会运行。 请告诉我验证或转义输入 ..

发布时间：2015-11-29 22:48:03 c# javascript ajax sql-injection C#/.NET

为codeigniter - 活动记录容易受到SQL注入？

刚刚看完这堆栈溢出因而留给我想知道如果SQL注入有可能通过在CI的活动记录。 在大多数的地方在我的项目，用户注册和用户配置文件更新我做SQL插入这样的： 控制器： $ name = $这个 - ＆GT;输入 - ＆GT;后期（'名'）; $姓氏= $这个 - ＆GT;输入 - ＆GT;后期（'姓氏'）; $年龄= $这个 - ＆GT;输入 - ＆GT;后期（“DOB”）; $ USER_ ..

发布时间：2015-11-28 19:33:40 mysql codeigniter activerecord sql-injection 数据库

如何逃脱在Ruby中插入或更新之前的字符串

在红宝石的ActiveRecord不提供动态的更新绑定和插入sql语句，我当然可以使用原始SQL，但需要保持连接，所以我想知道是否有更简单的方法来逃避更新或执行前插入SQL像下面code： 的ActiveRecord :: Base.connection.insert（SQL） 我想我可以通过GSUB写code，但我知道，如果出现了一个现成的方法来做到这一点。 解决方案 你可以这样做 ..

发布时间：2015-11-28 19:26:55 ruby activerecord sql-injection mysql-real-escape-string 高性能数据库开发

Rails的ActiveRecord的 - 搜索上的多个属性

我实现一个简单的搜索功能，应检查字符串无论是在用户名，姓氏和FIRST_NAME。我已经看到了这个ActiveRecord的方法在一个旧RailsCast： http://railscasts.com/episodes/37-simple-search-form 找到（：所有，：条件=＆GT; ['？名LIKE“，”％＃{搜索}％“]） 但我怎么做它，以便它搜索的名字，姓氏和名字的关键 ..

发布时间：2015-11-28 19:15:44 ruby-on-rails ruby-on-rails-3 search activerecord sql-injection 高性能数据库开发

在ADO.NET中，是否有限制，其中SQL参数可以在SQL查询中使用？

这个问题仅仅是用于教育目的，因为我目前没有构建一个版本的SQL查询，用户输入的任何应用程序。 这是说，我知道，在ADO.NET你可以做这样的事情prevent SQL注入： OleDbCommand的命令=新的OleDbCommand（“SELECT * FROM表WHERE帐号= @ 2”，连接）; command.Parameters.AddWithValue（“@ 2”，“ABC”）; ..

发布时间：2015-11-28 19:14:45 c# sql ado.net oledb sql-injection C#/.NET

Rails是这个查询开放SQL注入？

我还在学习如何编写使用ActiveRecord的很好的查询。我很好奇，如果该查询是受到SQL注入的方式，因为我使用的查询日期字段。 有人可以指出任何明显错误或更好的方法来写这个查询？ @arrangements_for_month = Arrangement.joins（：时隙）。 其中，（“timeslots.timeslot BETWEEN'＃{月}”和“ ..

发布时间：2015-11-28 19:02:42 ruby-on-rails ruby ruby-on-rails-3 activerecord sql-injection 高性能数据库开发

避免SQL注入中使用的参数，如操作员的SQL查询？

接管一些code从我的predecessor，我发现使用Like运算符的查询： SELECT * FROM供应商 WHERE supplier_name像'％'+姓名+％“; 试图避免SQL注入问题和参数，但我不太清楚如何做到这一点来实现。有什么建议？ 请注意，我需要为经典的ADO.NET的解决方案 - 我真的没有反超到了喜欢的东西LINQ关掉这个code 。 解决方案 试试这个： ..

发布时间：2015-11-28 19:01:09 search ado.net sql-injection sql-like .NET Framework

SQL注入prevention为创造轨控制方法

中所见comment_controller.rb： 高清创建 @comment = Comment.new（PARAMS [：评论]） @ comment.save 结束 林假设这是SQL注入不安全的。但是，什么是做这件事的正确方法是什么？..所有在网上处理发现的例子。 解决方案 这code 是从SQL注入攻击安全。逃逸是通过ActiveRecord的完成，因此任何时 ..

发布时间：2015-11-28 18:41:39 ruby-on-rails activerecord sql-injection 高性能数据库开发

Rails的方法容易受到SQL注入？

什么是Rails的方法，这些方法容易受到SQL注入，以及以何种形式？ 例如，我知道其中，用字符串参数是脆弱的： Model.where（“NAME =＃{PARAMS [：名}”）＃不安全 不过，参数化字符串或散列是不是： Model.where（“NAME =？”，则params [：名称]）＃安全 Model.where（名称：PARAMS [：名称]）＃安全 我主要 ..

发布时间：2015-11-28 18:38:19 ruby-on-rails activerecord sql-injection 高性能数据库开发

非Web SQL注入

似乎有关于SQL注入攻击有些歇斯底里。最近，这里 如果我要创建一个连接到Access数据库在Excel宏，难道我真的要担心SQL注入？这不是在网络上，它在我的办公室使用（你们还记得桌面吧？）。我不担心，我的同事会破坏我。如果他们足够聪明，做一个SQL注入，不是他们不够聪明破解我的外接密码，只需更改code？ 解决方案 如果您正在构建SQL的宏，这是容易受到SQL注入。即使你相信将要使用的东西 ..

发布时间：2015-11-28 12:42:57 excel vba ms-access access-vba sql-injection Access

prevent SQL注入动态的列名

我无法自拔的不写一些动态sql情况在我的系统（使用的Postgres）的一部分 我的问题是如何最好地避免SQL注入与我目前使用的方法。 编辑（推理）：有很多列在一些表（一数目的增长（只）和其他地方维持）。我需要允许使用者决定哪个（predefined）柱他们要查询（如果必要，应用字符串功能）的方法。查询本身过于复杂，用户在写自己，也不必访问数据库。有1000的用户提供了不同的要求，我需要保持尽 ..

发布时间：2015-11-27 12:53:09 .net sql vb.net postgresql sql-injection C#/.NET

什么是动态地选择一个表名在运行时的最佳方式是什么？

我使用的MySQL Connector / Net和我想写反对他的名字会在运行时指定一个表的查询。 这个例子是把我的头（未测试）的顶部： 公共类数据访问 { 公共枚举LookupTable中 { 表格1， 表2， 表3 } 公众诠释GetLookupTableRowCount（LookupTable中表） ..

发布时间：2015-11-27 12:00:10 .net mysql sql-injection parameterized C#/.NET

什么SqlCommand.Parameters.AddWithValue真的呢？

什么改变 SqlCommand.Parameters.AddWithValue（）确实与查询？ 我想到的是： 这是由 字符'替换每个“， 如果参数值是一个字符串或一些东西，必须将其转换为一个字符串，它由包围值，因此，例如 SELECT *从A其中B = @hello 会给 SELECT *从A其中B ='你好世界。 如果一个参数值是什么“安全”之类的整数，它是插在一个查询按原样，不带引 ..

发布时间：2015-11-27 11:52:52 .net tsql sql-injection sqlcommand escaping C#/.NET

我如何prevent MySQL数据库注入攻击利用vb.net？

我用vb.net在Visual Basic 2010和使用查询从应用程序（的WinForms）编辑我的在线MySQL数据库。 下面是一个示例插入一个新的用户到数据库： MySQLCon.Open（） 昏暗SQLADD作为字符串=“INSERT INTO成员（成员，玩家代号，角色）VALUES（'”＆放大器; memberToAdd.Text和放大器;“”，“”＆放大器; membersGam ..

发布时间：2015-11-27 11:04:21 mysql .net database vb.net sql-injection C#/.NET

难道实体框架功能自动跳脱输入，以防止注射？

做实体框架功能自动跳脱输入，以防止注射？ 在我的SQL数据库层，我有一个存储过程，它接受一个为nvarchar（max）作为输入。 在我的EDMX，该存储过程映射到一个函数导入为方法名（字符串输入） 我是否需要手动逃脱输入，以防止注射还是实体框架自动执行此操作？ 解决方案 取决于... EF不会逃脱输入为你，所以你是安全的在大多数情况下。 但是，如果你创建动态SQL与输入的过程或调用另一 ..

发布时间：2015-11-27 10:31:19 c# .net entity-framework sql-injection edmx C#/.NET

用于调用存储过程的时候处理SQL注入的最佳实践

我继承了code，我修复的安全漏洞了。什么是用于处理SQL注入，当一个存储过程被称为最佳做法？ 在code是这样的： StringBuilder的SQL =新的StringBuilder（“”）; sql.Append（的String.Format（“Sp_MyStoredProc”{0}“，{1}，{2}”，的sessionid，myVar的，“0”））; 锁（_lock） { ..

发布时间：2015-11-26 19:14:53 c# .net sql-server stored-procedures sql-injection C#/.NET

执行SQL注入作品中的WinForms？

我想提出一个windows软件在C＃。我看了一下 SQL注入，但我没有发现它正在我的应用程序。 执行SQL注入作品中的WinForms？ 如果是如何prevent他们。 编辑： 我使用的是文本框，用于读取用户名和密码。并通过使用textboxex我发现，从文本框中的文本是双引号之间（“，”）。所以，我没有发现它是工作。 当我使用文本框行情“或”，文读作 \“或 \ 示例： ..... ..

发布时间：2015-11-26 18:31:15 c# .net winforms sql-injection C#/.NET

SQL注入在.NET

您好我想知道是否有人知道一些好的网站，详细说明prevention SQL注入的.NET Web应用程序中。任何资源将大大appricated，谢谢你。 解决方案 我认为，如果你google了一下关于“preventing SQL注入在.NET'，你会发现很多很好的资源。 ：） 总之，一件非常重要的事情，是不使用字符串串联，以建立查询。 相反，使用参数化查询。 ADO.NET允许做到这一点， ..

发布时间：2015-11-25 16:12:34 .net sql-injection C#/.NET

避免SQL注入攻击

我有一个asp.net应用程序。在我有这个code： 使用（Data.connexion） { 字符串查询字符串= @“选择id_user，NOM，preNOM，邮件，登录，MDP，last_visite，id_group，id_user_status请从用户那里登录= @用户名和MDP = @ M​​DP”; SqlCommand的命令=新的SqlCom ..

发布时间：2015-11-25 15:58:00 asp.net .net razor sql-injection C#/.NET