何时最好清理用户输入?
作者:Aaron 提问时间:8/30/2008
用户等于不可信。永远不要相信不可信用户的输入。我明白了。但是,我想知道什么时候是清理输入的最佳时间。例如,您是盲目地存储用户输入,然后在访问/使用时对其进行清理,还是立即清理输入,然后存储此“清理”版...
sql 注入 问答列表
“Bobby Tables”XKCD 漫画中的 SQL 注入是如何工作的?
作者:Blankman 提问时间:12/2/2008
看看: (来源: https://xkcd.com/327/) 这个 SQL 有什么作用: Robert'); DROP TABLE STUDENTS; -- 我知道两者并且用于评论,但是...
SQL 数据格式化和 SQL 注入
作者:Diurnambule 提问时间:7/11/2022
我有一个包含 2 个表的数据库:我想更新其中一个表:students, employees import sqlite3 db_file = "school.db" def update_add...
查找此尝试的 SQL 注入查询的解释
作者:James Paterson 提问时间:7/15/2022
查看我的日志,我发现以下查询字符串是尝试执行 SQL 注入的尝试,可能来自自动化工具: (select*from(select+sleep(10)union/**/select+1)a) 据我所...
使用参数创建 SQL 数据库
作者:user2717436 提问时间:7/19/2022
我在SQL中有一个代码,它使用以下命令创建数据库: string query = String.Format( "CREATE DATABASE [{0}] ON PRIMARY (NAME = ...
尝试在 SQL 查询中转义动态字符串 [duplicate]
作者:Winterella 提问时间:7/16/2022
这个问题在这里已经有答案了: 使用 node/js/MySQL workbench 将变量传递给查询字符串 (3 个答案) 去年关闭。 运行如下所示的 SQL 查询。在这里,如果名称是“Tim's ...
如何检查节点中是否有任何字符串包含sql注入
作者:Ashish Butola 提问时间:8/31/2021
我们在 express 中创建了 API。我们的 API 正在接收有效负载作为 userInput,但有时任何用户都可以像这样输入一些 sql 注入作为 userInput 用户输入 OR 1=...
修复我的代码以防止 sql 注入
作者:percival 提问时间:8/2/2022
我在 DotNet Windows 窗体应用程序中进行了身份验证登录,我正在尽最大努力保护数据库免受 SQL 注入攻击,但我的代码中似乎存在错误的逻辑。任何帮助将不胜感激。 /* -UNSAFE c...
在 SqlCommand 中使用@@TranCount指令时进行 SQL 注入
作者:Aleksandr Romanov 提问时间:8/11/2022
我有这样的代码: private DbTransaction sqlTransaction = null; ... ... ... using (DbCommand command = new Sq...
基于时间的SQL注入攻击影响所有用户还是只影响我?
作者:Solo 提问时间:8/16/2022
很抱歉问了这个愚蠢的问题,但是如果我发现一个容易受到时基SQL注入攻击的网站。例如,我正在使用 (sleep 20) 表示服务器将休眠 20 秒,然后响应我,因此服务器仅为我或网站上的所有用户关闭 2...