在 Spring Hibernate 中获取二阶 SQL 注入
作者:Jitendra Tiwari 提问时间:1/30/2023
在扫描 Checkmarx 工具后,我在 Spring-Hibernate 应用程序中面临二阶 SQL 注入,我在 StackOverflow 和其他平台中也经历了多个问题,但没有得到正确的发现。 ...
SQL注入 问答列表
如何生成一个安全的SQL命令字符串,防止SQL注入?
作者:RHarris 提问时间:1/20/2023
我有一种情况,我必须从用户那里获取输入,创建一个 SQL 命令并将该命令发送到将执行 SQL 的服务。该服务只允许 SQL 字符串 -- 不允许其他参数;所以我被迫在我这边创建整个 SQL 语句。 ...
SQLmap 中的配置有效负载使用情况
作者:mo.eng 提问时间:2/10/2023
手动测试后我有目标,我找到了对睡眠时间的目标响应,但 3 之后的响应乘以我输入的数字。 例如 当我放置有效载荷时: 'select (sleep (1))' 读取响应将为 3 当我放置有效载...
MongoDB 数据 API 注入攻击
作者:freitzzz 提问时间:2/24/2023
我目前正在使用数据 API 连接到 MongoDB,以插入客户端发送的用户生成内容。但是,我突然想到,我没有想到在通过 API 将数据插入数据库的过程中可能发生的注入攻击。 我在官方文档上找不到与此...
无法使用 UNION 查询获取表名
作者:Subhash S 提问时间:3/30/2023
我正在尝试进行sql注入以在ctf上获取标志。我已经发现了查询给出的位置和列数。因此,基于此,我尝试从 information_schema.tables 中获取表的名称,但我收到 500 内部错误,...
如果字段与指定值不同,请更新 mySQL,但如果不是,则不用管它?
作者:user3200404 提问时间:4/1/2023
有时我需要构建一个部分。那么,在所有可用的选项中,什么是最安全的呢?我正在使用 和 连接器来执行这些查询。sql query stringPython 3.xmysql 我听说使用本例中的方法容易受...
Sails.js/waterline 参数化查询真的可以防止 sql 注入(官方文档)吗?
作者:kanfam 提问时间:4/2/2023
我正在使用 waterline v0.11(是的,非常旧)和 postgresql 11,我听说参数化查询可以防止 sails 中的 sql 注入,但我找不到任何关于此的官方文档。 我已经搜索了一段...
避免使用 Dapper 在 Postgres sql 动态查询中注入 SQL
作者:Faraaz 提问时间:4/3/2023
我在postgres SQl中有一个函数,它使用动态查询来搜索结果。我正在对任务使用参数化方法以避免SQL注入。下面是我函数的片段。 CREATE OR REPLACE FUNCTION maste...
应该在用户名框中输入什么才能对以下代码执行 SQLInjection 攻击,我应该如何降低这种风险?
作者:BHughes 提问时间:4/6/2023
我知道我需要对哈希进行加盐,我只是好奇如何对此执行SQLInjection攻击,我想降低风险 if (username && password) { db.get(`SELECT * FROM u...
在哪里验证输入参数以防止 C# Web API 控制器或服务或存储库中的 SQL 注入?
作者:jen 提问时间:9/8/2022
我知道参数化查询足以防止 SQL 注入。验证输入参数是否也是好的做法?验证输入参数的好方法是什么,以及在哪里(控制器、服务、存储库)验证它们? 这是我的控制器方法: public async Ta...