确保参数是编译时定义的字符串文本
作者:Max888 提问时间:9/5/2023
为了防止SQL注入的风险,我想创建一个API,其中包含一个仅接受编译时字符串文字作为输入的函数,例如,等。然后,该函数可以执行所需的字符串连接,生成 sql 语句并执行它。这将是执行 SQL 的唯一方...
SQL 注入 问答列表
在 Ballerina SQL 中是否也应该考虑输入清理?
作者:Mindula 提问时间:9/12/2023
我目前正在 Ballerina 中使用参数化查询。 int id = 10; int age = 12; sql:ParameterizedQuery query = `SELECT * FROM ...
在共享 postgres 池中强制实施行级安全性
作者:Evert Heylen 提问时间:10/11/2023
我正在开发一个典型的客户端-服务器 Web 应用程序。它使用的系统有点像 GraphQL,客户端可以灵活地指定所需的数据,而无需为每种类型的数据自定义 API 端点。服务器正在运行 node,并且正在...
使用 Spring Boot 的 JdbcTemplate.query 的 SonarQube SQL 注入漏洞警告
作者:unstable 提问时间:10/27/2023
我在Spring Boot项目中遇到SonarQube漏洞警告。该警告与使用 JdbcTemplate.query 执行 SQL 查询的一段代码中的潜在 SQL 注入漏洞有关。具体来说,当我有这样的行...
使用参数而不是串联的好处
作者: 提问时间:12/7/2011
我是 ASP.NET 和 C# 编程的新手。 我想知道在SQL语句中使用参数而不是串联有什么区别和优点以及缺点,因为我听说这是防止SQL注入(? 以下是我已从使用串联更改为参数的示例 INSERT...
使用 Psycopg2 SQL 模块时,为什么我的查询在引用标识符时仍然有效?
作者:Florian 提问时间:8/30/2020
由于莫里斯·迈耶(Maurice Meyer)让我知道的语法错误而编辑了问题 我需要保护应用程序免受 SQL 注入,因此使用 Psycopg2 的 sql 模块。这将生成一个工作查询: conn ...
如何处理对 100+ 种组合的数据库的 SQL 查询?
作者:Νίκος Ανδρεάδης 提问时间:10/30/2023
我的用户界面有 9 个字段,每个字段都代表我的数据库表中的一列。 所以问题是我需要涵盖 9 个字段的所有可能组合,并向数据库发送特定查询。 例: 如果用户输入 2 个字段,我会从数据库中返回与这 2 ...
如何在 Python 中安全地将值传递给 SQLite PRAGMA 语句?
作者:Sam Zuk 提问时间:11/2/2023
我目前正在用 Python 编写一个应用程序,将其数据存储在 SQLite 数据库中。我希望将数据库文件加密存储在磁盘上,我发现最常见的解决方案是 SQLCipher。我将sqlcipher3添加到我...
有人入侵了我的数据库 - 如何?
作者:xRobot 提问时间:11/22/2010
有人入侵了我的数据库并删除了该表。 在我的PHP页面中,有一个查询,我使用mysql_real_escape_string: $db_host="sql2.netsons.com"; $db_na...
尝试注入 Real Select 和 where 子句,使用 real Select 语句进行 SQL 注入 - 非字符串查询 [closed]
作者:Yazan OS 提问时间:11/9/2023
已关闭。这个问题需要细节或澄清。它目前不接受答案。 想改进这个问题吗?通过编辑这篇文章添加详细信息并澄清问题。 10天前关闭。 改进此问题 我可以直接注入真正的 SQL Select 语句吗?...