为什么 Veracode 会报告 CWE-89?
作者:Radek Chromík 提问时间:8/31/2020
我有这个用JDBC编写的SQL查询,其中包含动态表和字段名称: private String checkDimension(String tenantId, String prefix, Long...
注入 问答列表
Node - Oracle 预准备语句不绑定通配符
作者:Sebastian Galindo 提问时间:5/17/2023
我有以下代码: async test() { let conn = null; try { conn = await this.connect(); debug("connection!...
如何使用python请求更精确地计算经过的时间?
作者:Shinomoto Asakura 提问时间:5/21/2023
我正在尝试模拟一个SQLMap,它绘制了一个基于时间的SQL注入。 resultado = "" listaCaracteres = string.ascii_letters + string.di...
动态 SQL 和 SQL 注入
作者:cptkirkh 提问时间:5/27/2023
我被要求研究在 Postgres DB 上的函数中生成动态 SQL 语句。过去,我一直倾向于在应用程序级别生成 SQL,但在这种情况下,我们尝试在数据库本身中执行此操作。 更糟糕的是,我基本上会得到...
如何将数组作为参数从 node.js 传递给 Vertica 查询?
作者:roberkules 提问时间:5/28/2023
我正在尝试对vertica数据库执行sql查询。到目前为止,这很有效。但为了防止 sql 注入,我想使用参数化查询。看起来 Vertica 支持参数为 (与 postgres 的?$1, $2, .....
“Drop View <View_Name>”上的 Bandit 漏洞
作者:Lucky Ratnawat 提问时间:5/29/2023
我不确定为什么 bandit 将以下内容通知为“检测到可能的格式化 SQL 查询。请改用参数化查询。 conn.execute(f"DROP VIEW {view_name};") 有没有办法...
防止动态 sql 注入
作者:MrGoodman 提问时间:5/30/2023
我有一个在Oracle数据库中构建帐户搜索工具的助手。我以动态 sql 结束,但我知道存在 sql 注入的风险。然后,Java 进一步处理输出游标的输出(传递给 AccountResource 并输出...
我想找到mysql的查询,使query = answer然后休眠几秒钟
作者:Mr_loffy Geek 提问时间:6/3/2023
我已经查询了我的数据库(MYSQL): SELECT * FROM information_schema.tables LIMIT 1; 结果为 21 列,因此: SELECT tabel_...
存储过程中是否存在此 SQL 注入漏洞?
作者:Ob Ahmed 提问时间:6/7/2023
我正在使用一个名为 GetPublicMethodData 的存储过程,该过程根据用户输入执行动态 SQL 查询。我的经理指出了代码中潜在的 SQL 注入漏洞,我正在寻求有关如何有效解决此问题的指导。...
即使在更改请求的文件后,SQLMAP 后数据错误仍然存在
作者:Joginder Singh 提问时间:6/13/2023
我试图使用POST方法运行sqlmap,但我收到此错误: [CRITICAL] no parameter(s) found for testing in the provided data (e.g...