如果检查输入,是否需要参数化 SQL 搜索?
作者:Hattie35 提问时间:7/30/2020
我正在编写一个 R Shiny/SQLite 应用程序。在应用程序中,我有一个函数,它从我的 SQLite 数据库中的一个表中返回一列,该函数将表名作为输入。 在将查询发送到 SQLite 之前,该...
参数化 问答列表
c# - 参数化查询
作者:user6097989 提问时间:4/12/2016
我正在开发一个 .net 网站,该网站使用使用 Insert/Update 和 Select Queries 的 DB2 数据库。我研究了 SQL 注入,我相信我已经参数化了我的查询以避免 SQL 注...
不参数化MySQL查询,而是在进行非常大的插入时使用MySqlHelper.EscapeString(string)方法是否安全?
作者:d703732 提问时间:7/10/2019
例如: StringBuilder sCommand = new StringBuilder("INSERT INTO User (FirstName, LastName) VALUES "); ...
当参数不是字符串时,不参数化 SQL 查询是否安全?
作者:johnnyRose 提问时间:9/18/2015
在SQL注入方面,我完全理解参数化的必要性;这是书中最古老的技巧之一。但是什么时候可以证明不参数化是合理的?是否有任何数据类型被认为是“安全的”,可以不进行参数化?stringSqlCommand ...
“Drop View <View_Name>”上的 Bandit 漏洞
作者:Lucky Ratnawat 提问时间:5/29/2023
我不确定为什么 bandit 将以下内容通知为“检测到可能的格式化 SQL 查询。请改用参数化查询。 conn.execute(f"DROP VIEW {view_name};") 有没有办法...
如何在 pytest 的参数化测试函数中跳过特定测试
作者:explorer2020 提问时间:10/9/2023
我有一个pytest函数,它有标记@pytest.mark.win_11和@pytest.mark.parametrize('os,result',[('win_11','result1'),('wi...