那些遇到过的问题

SQL注入仍然是一种威胁吗?

Ale*_*rdi 0 sql asp.net sql-injection cracking

我一直想知道SQL注入是否仍然是日常普通网站的可能威胁,使用参数化SQL.(ASP.NET - '@ 0').

如果它仍然是一个威胁,那么破解者如何覆盖或绕过这些参数呢?

Gre*_*reg 5

根据OWASP的说法,它仍然是2013年的最大威胁(在ASP.NET问世之后很久):https://www.owasp.org/index.php/Top_10_2013-A1-Injection

参数化SQL不会消除担心SQL注入的麻烦.我曾在一家公司工作,以前的开发人员创建了存储过程,该过程将字符串作为参数,创建了一些动态SQL,包括该字符串并执行它.他们声称它是安全的,因为它是参数化的,但我能够证明我可以将SQL代码传递给存储过程并让它执行.

此外,声称您可以安全地使用SQL注入,因为您使用支持参数的语言并不意味着您每次都使用参数.只有一个人可以将一些代码注入您的数据库.

  • 我认为值得注意的是,正确使用参数化可以有效地消除SQL注入的威胁.黑客无法解决某些问题.您描述的情况非常具体,因为程序员或多或少地消除了预编译查询本身的好处.有效,但可能不是OP所询问的. (2认同)
  • 诀窍很简单:不要执行用户给你的任何东西.即使你在它周围加上引号,你仍然在添加用户输入后编译SQL.在Greg的示例中,参数化SQL解释并运行另一个包含用户输入的SQL脚本.在添加用户输入之前,您需要解释参数化点,因此无法注入. (2认同)

归档时间:

查看次数:

1094 次

最近记录:

8 年,9 月 前
相关归档
将唯一约束添加到两列的组合 133
当我调用Response.Redirect()时,为什么会在"发送HTTP标头后无法重定向"? 81
一列的SQL集值等于同一表中另一列的值 81
使用Spring Data按日期排序ASC 40
将一行连接到另一个表中的多行 22
在ASP.NET中调用AppInitialize方法? 19
什么是Literal控件用于什么,与asp.net中的Label Control有什么区别? 16
SQL Query显示多个日期范围之间的差距 15
更新我的身份服务器4后不断出现无效范围错误 15
如何检查ASP.NET 4.0是否在IIS 7.5上注册 13
难疑归档
避免!= null语句 3904
在'for'循环中访问索引? 3312
Java中的"实现Runnable"与"扩展线程" 2023
一次捕获多个异常? 2015
如何在Bash中的分隔符上拆分字符串? 1885
常规演员与static_cast与dynamic_cast 1661
JavaScript发布请求,如表单提交 1465
如何遍历C#中的所有枚举值? 1359
哪些字符在CSS类名/选择器中有效? 1171
如何使用git merge --squash? 1101