Amministratori di database sql-injection

6

Le procedure memorizzate impediscono l'iniezione di SQL?

È vero che le procedure memorizzate impediscono gli attacchi SQL injection contro i database PostgreSQL? Ho fatto una piccola ricerca e ho scoperto che SQL Server, Oracle e MySQL non sono sicuri contro l'iniezione di SQL anche se utilizziamo solo procedure memorizzate. Tuttavia, questo problema non esiste in PostgreSQL. L'implementazione …

83 postgresql security sql-injection

1

Iniezione SQL nelle funzioni Postgres vs query preparate

In Postgres, le query preparate e le funzioni definite dall'utente equivalgono a un meccanismo di protezione contro l'iniezione SQL ? Ci sono vantaggi particolari in un approccio rispetto all'altro?

30 postgresql plpgsql prepared-statement sql-injection functions

2

Perché SQL Injection non si verifica su questa query all'interno di una procedura memorizzata?

Ho effettuato la seguente procedura memorizzata: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Ora, ho provato a fare qualcosa del genere. Forse sto sbagliando, ma voglio essere sicuro che una tale procedura …

18 sql-server sql-server-2008 dynamic-sql sql-injection

2

Come posso inserire faccine in MySQL (😊)

Sono su MySQL 5.5.21 e sto provando a inserire il carattere faccina '\ xF0 \ x9F \ x98 \ x8A'. Ma per la mia vita, non riesco a capire come farlo. Secondo vari forum che ho letto, è possibile. Ma ogni volta che lo provo, i dati vengono troncati. mysql> …

18 mysql character-set sql-injection

4

Perché vuoi evitare Dynamic SQL nella procedura memorizzata?

Ho sentito dire che non vuoi usare Dynamic SQL. Puoi fare qualche esempio concreto o esempio di vita reale? Personalmente, lo codice alcune volte nel mio database. Penso che sia OK perché è flessibilità. La mia ipotesi riguarda SQL Injection o Performance. Qualunque altra cosa?

13 sql-server performance stored-procedures dynamic-sql sql-injection

3

C'è un modo per uscire dalla stringa e iniettare SQL senza usare una singola virgoletta in Oracle?

Sto testando un'applicazione basata su Oracle e ho trovato il seguente codice: Query = "SELEZIONA nome DA Dipendenti DOVE id = '" + PKID + "';" cioè la stringa di query contiene virgolette attorno al valore PKID che si ottiene direttamente dall'URL. Ovviamente, si tratta di una classica iniezione SQL …

12 oracle sql-injection

1

Quale funzione cita un identificatore in dynamic-sql con SQL Server?

Qual è il metodo SQL Server per identificare preventivamente gli identificativi per la generazione dinamica di sql. MySQL ha quote_identifier PostgreSQL ha quote_ident Come posso garantire un nome di colonna generato dinamicamente per un'istruzione generata dinamicamente che la colonna stessa non è un attacco di iniezione SQL. Diciamo che ho …

11 sql-server security sql-injection

1

Dovremmo ancora usare QUOTENAME per proteggerci dagli attacchi di iniezione?

Oggi stavo guardando una vecchia procedura memorizzata e ho notato che stava usando quotenamei parametri di input. Dopo aver fatto qualche scavo per capire cosa fa esattamente mi sono imbattuto in questo sito . Ora capisco cosa fa e come usarlo, ma il sito dice che viene utilizzato come mitigazione …

9 sql-server-2008 t-sql sql-injection

2

I formati di data devono essere specificati nelle istruzioni SQL?

Vedo il codice degli sviluppatori che usano la conversione della data implicita. Vorrei una risposta definitiva al perché non dovrebbero farlo. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle sql-injection

Domande taggate «sql-injection»