那些遇到过的问题

我可以通过使用参数来避免所有SQL注入攻击吗?

Moh*_*oud 8 sql security sql-injection

我可以通过使用参数来避免所有SQL注入攻击吗?
在这种情况下,不要担心SQL注入中的任何内容?
或者是否有某些类型的攻击需要程序员更多的关注?

Red*_*ter 10

不,您无法通过使用参数来避免所有SQL注入攻击.动态SQL是真正的问题,这可能发生在存储过程以及应用程序代码中.

例如,这容易发生SQL注入攻击:您的参数化查询将用户名传递给存储过程,并且在存储过程中,该参数被连接到SQL命令然后执行.

有关多种SQL注入攻击的示例,请参阅此SQL注入备忘单.您将看到,简单地转义单引号只是表面上的问题,并且有很多方法可以解决这个问题.

Ada*_*son 9

是的,不是.是的,如果所有SQL语句都是静态的并且只使用参数,那么您将100%受到SQL注入攻击的保护.

当参数本身用于构造动态SQL语句时,问题就出现了.一个示例是一个存储过程,它动态生成一个SQL语句,用于查询大量不同的选项,其中单个整体语句是不切实际的.虽然这个问题有更好的解决方案,但这是一个常见的解决方案.

Chr*_*ter 5

是的,只要在调用堆栈中一直使用参数,就可以通过使用参数来避免所有SQL注入攻击.例如:

  • 您的应用程序代码在数据库中调用存储过程或动态SQL.必须使用参数传递所有值.
  • 存储过程或动态SQL在内部构造对另一个存储过程或动态SQL语句的调用.这也必须使用参数来传递所有值.
  • 重复ad-infinitum,直到你的代码用完为止.

如果您使用SQL Server进行编程,则可以使用它sp_executesql来执行动态SQL,它将允许您定义参数化值并将其传递给正在执行的语句.

归档时间:

查看次数:

553 次

最近记录:

15 年,5 月 前
相关归档
SQL Management Studio的SQL Formatter 240
从表中选择1是什么意思? 132
mysql更新查询中的增量值 125
在基于浏览器的应用程序中保存JWT的位置以及如何使用它 41
ASP.NET站点地图 39
生成私有,唯一,安全的URL 13
代表DAG(有向无环图) 12
在.NET中加密短字符串的最佳方法是什么? 8
在IIS 6.0中使用SSLv3 7
我可以限制从javascript小部件到合作伙伴网站域的API访问吗? 5
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
如何使用scp将文件夹从远程复制到本地? 2562
需要一个没有任何子弹的无序列表 2408
为什么我的JavaScript在所请求的资源上出现"No'Access-Control-Allow-Origin'标头"错误,当Postman没有? 2320
JavaScript中==和===之间的区别 1592
每位程序员应阅读的最具影响力的单一书籍是什么? 1439
检索HTML元素的位置(X,Y) 1418
UNION和UNION ALL有什么区别? 1350
如何在正则表达式中使用变量? 1250
将先前的提交分解为多个提交 1113