«sql-injection» 태그된 질문

6
저장 프로 시저가 SQL 삽입을 방지합니까?
저장 프로 시저가 PostgreSQL 데이터베이스에 대한 SQL 주입 공격을 막는 것이 사실입니까? 나는 약간의 연구를 해본 결과 저장 프로 시저 만 사용하더라도 SQL Server, Oracle 및 MySQL이 SQL 삽입에 대해 안전하지 않다는 것을 알았습니다. 그러나 PostgreSQL에는이 문제가 없습니다. PostgreSQL 코어에서 스토어드 프로 시저 구현이 SQL 인젝션 공격을 방지합니까 아니면 다른 …
2
저장 프로 시저 내에서이 쿼리에 대해 SQL 주입이 발생하지 않는 이유는 무엇입니까?
다음 저장 프로 시저를 만들었습니다. ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender 이제 이런 식으로 시도했습니다. 어쩌면 나는 이것을 잘못하고 있지만 그러한 절차가 SQL 주입을 막을 수 있기를 원합니다. EXEC usp_actorBirthdays 'Tom', …
2
웃는 얼굴을 MySQL에 삽입하는 방법 (😊)
MySQL 5.5.21을 사용 중이며 '\ xF0 \ x9F \ x98 \ x8A'웃는 얼굴 문자를 삽입하려고합니다. 그러나 내 인생에서 나는 그것을하는 방법을 알 수 없습니다. 내가 읽은 다양한 포럼에 따르면 가능합니다. 그러나 그것을 시도 할 때마다 데이터가 잘립니다. mysql> INSERT INTO hour ( `title`, `content`, `guid` , `published` , `lang` , …
3
오라클에서 작은 따옴표를 사용하지 않고 문자열에서 벗어나 SQL을 주입하는 방법이 있습니까?
Oracle 기반 응용 프로그램을 테스트하고 있으며 다음 코드를 찾았습니다. 쿼리 = "선택 직원의 이름 WHERE id = '"+ PKID + "';" 즉, 쿼리 문자열에는 URL에서 직접 얻은 PKID 값 주위에 따옴표가 포함됩니다. 분명히, 이것은 응용 프로그램이 CA SiteMinder 뒤에 있다는 점을 제외하고는 고전적인 SQL 주입입니다. (단일 인용 부호가있는 URL이 응용 …
1
SQL Server와 함께 동적 SQL에서 식별자를 인용하는 함수는 무엇입니까?
동적 SQL 생성을위한 안전한 인용 식별자의 SQL Server 방법은 무엇입니까? MySQL은 quote_identifier PostgreSQL은 quote_ident 열 자체가 SQL 인젝션 공격이 아니라는 동적으로 생성 된 명령문에 대해 동적으로 생성 된 열 이름을 제공하려면 어떻게해야합니까? SQL 문이 있다고 가정 해 봅시다. SELECT [$col] FROM table; 본질적으로 'SELECT [' + $col + '] FROM …
1
여전히 주입 공격으로부터 QUOTENAME을 사용해야합니까?
나는 오늘 오래된 저장 프로 시저를보고 있었고 quotename입력 매개 변수를 사용하고 있음을 알았습니다 . 그것이 정확히 무엇을 알아 내기 위해 약간의 파기를 한 후에 나는 이 사이트를 가로 질러왔다 . 나는 그것이 무엇을 어떻게 사용하는지 이해하지만 SQL 주입 공격의 완화로 사용된다고 사이트는 말합니다. asp.net을 사용하여 데이터베이스를 직접 쿼리 한 앱을 …
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.