在 NodeJS 中使用 node-mssql 构造准备好的 sql 模板
作者:TheDude 提问时间:9/18/2023
我有一个 Express 应用程序,我正在使用 node-mssql 库连接到 mssql 数据库,以便从中检索和写入数据。 现在,在 Express 应用程序的后端,我希望有一个功能,该功能接收一...
准备语句 问答列表
如何使用准备好的语句直接在SQL结果中突出显示搜索关键字(注入html代码)?
作者:Aurélien Grimpard 提问时间:8/22/2023
编辑:我的问题不是如何突出显示搜索结果的重复,因为我正在尝试使用查询而不是查询结果。我知道我可以使用查询结果,我什至尝试过,但这会产生其他问题,包括大小写和强调。所以,如果有一种方法可以用mysql来...
字符串连接与美元报价
作者:Ivan Vodopyanov 提问时间:8/9/2023
我使用串联来准备一个带有参数值的查询字符串 当我使用单引号时: p_ReqStr_old := ' with prm as ( select 1::int4 as id, ' || ' to...
SNOWFLAKE - 如何在程序中将变量与 DDL 绑定?
作者:user18243519 提问时间:5/12/2023
我已经在带有“?”或“:1”占位符的 INSERT 或 SELECT 等语句中使用了绑定变量,但我不能将它与 CREATE ROLE 等指令一起使用,因为它会引发异常。 我需要绑定变量以创建一个过程...
Checkmarx二阶SQL注入php
作者:fahad shaikh 提问时间:3/30/2023
我有一个自定义函数,可以创建准备好的语句。由于我使用的是预处理语句,因此checkmarx不应在此函数中突出显示二阶SQL注入问题。 function insertUsingPreparedStmt...
PreparedStatement IN 子句替代方案?
作者:Chris Mazzola 提问时间:10/7/2008
将 SQL 子句与 实例一起使用的最佳解决方法是什么,由于 SQL 注入攻击安全问题,多个值不支持该实例: 一个占位符表示一个值,而不是值列表。INjava.sql.PreparedStatement...
稍后在预准备语句中使用的串联字符串是否会导致 sql 注入?
作者:ethicalhacker 提问时间:9/12/2022
我正在评估一段代码来检查 sql 注入的可能性。 我注意到,在进行预处理语句之前,仅为 where 条件(名为 strwhere)构造了一个字符串,然后将其传递给创建预处理语句的函数。请注意,在str...
在 python 的 SQL Alchemy 中使用quoted_name安全的方式来参数化表名和字段吗?
作者:M.wol 提问时间:4/6/2022
我花了很多时间寻找解决方案,以在 SQL Alchemy 纯文本 SQL 查询中为 SQL Server 参数化表名和字段名。我偶然发现了几个 stackoverflow 问题和其他资源,例如: S...
什么时候应该使用预准备语句?
作者:G.SINGH 提问时间:7/28/2014
本来我用和做事。然后我学习了SQL注入,所以我正在尝试学习如何使用预准备语句。我了解 PDO 类的准备和执行函数如何有助于防止 SQL 注入。mysql_connectmysql_query 是否只...
如何将 SQL 查询更改为参数化查询
作者:Vidya 提问时间:8/17/2023
let query = select * from (select acf.ID "call_flow_ID", acf.Name "CALL_FLOW_NAME", acf.SLO "SERVIC...