如何在变量中扩展 SQL 查询?
作者:Arcanus 提问时间:1/30/2022
我正在我的数据库上测试可能的SQL注入,并且我正在运行一个简单的函数来获得用户不应该得到的结果。返回值基于 id 是正确的,但是,查询的其余部分将被完全忽略。 我想从数据表中返回所有数据。 我的语...
sql 注入 问答列表
检查字符串中是否有 SQL 注入而无法访问数据库(无参数)
作者:LukerMaster 提问时间:2/1/2022
我有一项任务是检查并证明是否有办法在不首先访问数据库的情况下防止 SQL 注入 - 所以没有参数化语句。 这基本上意味着: 有没有办法使用任何类型的工具或框架将 SQL 语句解析为字符串,以证明 S...
MySQL参数化查询的功能与在C#应用程序中未参数化一样
作者: 提问时间:12/20/2021
我一直收到此错误:MySql.Data.MySqlClient.MySqlException:'您的SQL语法中有错误;查看与您的 MySQL 服务器版本相对应的手册,了解在“功能:SecurityT...
如何使用带参数的表名的 Select 查询?[复制]
作者:beriscen 提问时间:4/1/2022
这个问题在这里已经有答案了: SqlParameter 不允许 Table name - 其他选项没有 sql 注入攻击? (3 个答案) 去年关闭。 当使用 Insert 查询时,参数将正常工作,...
在 python 的 SQL Alchemy 中使用quoted_name安全的方式来参数化表名和字段吗?
作者:M.wol 提问时间:4/6/2022
我花了很多时间寻找解决方案,以在 SQL Alchemy 纯文本 SQL 查询中为 SQL Server 参数化表名和字段名。我偶然发现了几个 stackoverflow 问题和其他资源,例如: S...
如何在 owasp zap 中单独扫描特定的 URL 或页面
作者:karthik anandan 提问时间:8/6/2019
我已经安装了OWASP ZAP 2.8.0并完全扫描了我们的网站。结果,我们得到了一些SQL注入URL或页面。因此,我们已经修复了开发中提到的 OWASP 工具中的 SQL 注入问题。 如何扫描OW...
预准备语句如何防范SQL注入攻击?
作者:Aan 提问时间:11/25/2011
准备好的语句如何帮助我们防止SQL注入攻击? 维基百科 说: 预准备语句对 SQL 注入具有弹性,因为 参数值,稍后使用不同的 协议,不需要正确转义。如果原始声明 template 不是从外部输入...
SQL注入在我的网站上,我能做什么?[复制]
作者:Paolo De Feo 提问时间:6/12/2022
这个问题在这里已经有答案了: 防止php web联系表单垃圾邮件 (12 答案) 如何防止PHP中的SQL注入? (27 个答案) 去年关闭。 今天,有人带着机器人试图通过多次在我的网站上提交表格来...
删除非字母数字字符可以防止 SQL 注入吗
作者:ÁEDÁN 提问时间:3/22/2017
想象一个简单的查询: Declare @sql varchar(100) Declare @table varchar(20) Set @table = 'foo' select @sql = 's...
什么时候应该使用 PDO::query?[复制]
作者:DrFaraday 提问时间:2/27/2021
这个问题在这里已经有答案了: PDO 的查询与执行 (3 个答案) 去年关闭。 我刚刚了解到,为了避免SQL注入,最好使用准备/执行二人组: $pdo = new PDO ('mysql:host...