SQL 注入 问答列表

Postgres:同时使用准备好的语句和字符转义是否足以避免恶意用户输入攻击?

作者:JCollier 提问时间:10/5/2021

我假设如果我使用准备好的语句然后转义所有字符,任何用户抛出的输入都不会给我带来任何麻烦。但我知道有很多棘手的黑客,我对数据库不可穿透性的假设往往是错误的。这个问题假设我作为开发人员没有使用任何花哨的 ...

如果参数不包含单引号,然后用单引号四舍五入,是否可以执行 SQL 注入?

作者:Simone Lungarella 提问时间:10/19/2021

如果解析参数以删除包含的所有单引号,然后用单引号括起来,是否仍然可以进行 SQL 注入?我知道这看起来很糟糕,一般来说,使用准备好的语句要好得多,但是,出于好奇,我想知道是否有一种方法,甚至更好的例子...

如何防止\出现在引号旁边?[复制]

作者:rockoversweden 提问时间:10/18/2021

这个问题在这里已经有答案了: 如果我使用 MySQLi 准备好的语句,我是否需要转义我的变量?[复制] (2 个答案) PHP预准备语句转义的清晰度 (3 个答案) 我们是否应该在将特殊字符存储在数据...

SQL 注入按原样返回注入的代码

作者:Fabio R. 提问时间:10/22/2021

我试图击败这个 CTF:一个正在建设中的网站,有一个简单的登录页面,您可以在其中登录或注册新用户。 它使用 和 DB。node expressSQLite 分析源代码,我发现了这个查询: get...

防止 Node.js 中的 SQL 注入

作者:funseiki 提问时间:4/3/2013

是否可以像 PHP 具有防止 Node.js 中的 SQL 注入(最好使用模块)一样防止它们。 如果是这样,如何?如果没有,有哪些示例可能会绕过我提供的代码(见下文)。 一些背景: 我正在使用 ...

SQL注入修改表

作者:lcrnlpz 提问时间:11/5/2021

我正在课堂上做一个练习,通过用户/密码表单查找网页漏洞,并且我们支持能够使用 SQL 注入修改表的列。 我知道数据库的表,例如,我正在尝试修改具有列 ID、密码和电子邮件的表用户。 问题是,对于 ...

javax.persistence.EntityManager SQL 注入

作者:zordu-nickim-agzivi-sikm 提问时间:11/17/2021

在这种方法中,我根据 pincode 或 voen 从 oracle 数据库中的过程接收数据。 @Override public List<BaseClass> getCustomerInfo(St...

Sonarqube 在我的休眠 sql 中警告输入驱动的列名的 sql 注入

作者:Laodao 提问时间:12/14/2021

我的 java(Hibernate、MySql)代码采用输入数据来决定我要更新哪一列,如下所示: String hsql = "update People set " + inputColumnNa...

PreparedStatement 如何避免或防止 SQL 注入?

作者:Prabhu R 提问时间:10/17/2009

我知道 PreparedStatements 避免/防止 SQL 注入。它是如何做到的?使用 PreparedStatements 构造的最终表单查询是字符串还是其他方式?...

如何在没有 SQL 注入漏洞的情况下参数化 SQL 表

作者:Nigel 提问时间:11/18/2021

我正在编写一个 C# 类库,其中一项功能是能够创建与任何现有表的架构匹配的空数据表。 例如,这个: private DataTable RetrieveEmptyDataTable(string ...


共213条 当前第12页