那些遇到过的问题

SQL注入预防方法

Eri*_*ang 0 sql security postgresql sql-injection

如果我围绕一个sql语句包装解释,即

explain ( [arbitrary sql string] )

我应该能够预防注射create,drop,truncate,delete命令是否正确?

我只是在postgres上尝试过它,它似乎有效,但我不知道是否有一个我忘了的角落案例.

Joe*_*orn 7

不.它不会起作用.你仍然可以得到这样的东西:

Explain( select columns from table where value = '');injected sql here --)
Run Code Online (Sandbox Code Playgroud)

你所做的就是让攻击者做一些额外的工作来弄清楚他们)除了通常的单引号外还需要这个角色.

如果要阻止Sql注入,请确保始终使用参数化查询.

归档时间:

查看次数:

512 次

最近记录:

8 年,4 月 前
相关归档
选择postgres中字段的数据类型 144
将日期添加到SQL数据库备份文件名 35
如果没有记录,如何使MySQL SUM查询返回零而不是null? 28
psql:FATAL:连接需要有效的客户端证书 17
为什么索引不用于此查询? 12
安全的Web服务请求 7
在HTTP页面上加载HTTPS内容 6
Heroku和ClearDB错误 6
会话是否可由客户/用户修改? 5
"完全信任"中的"PolicyException:无法获取所需权限 - 无法查看原因 1
难疑归档
PostgreSQL"DESCRIBE TABLE" 1790
如何在没有换行或空格的情况下打印? 1760
什么是 ":-!!" 用C代码? 1627
正确使用IDisposable接口 1586
如何调试Node.js应用程序? 1531
编译用于高放射性环境的应用程序 1414
Markdown中的评论 1277
如何按多列对数据帧进行排序? 1266
在React JSX中循环 1131
在Ruby on Rails中对nil v.空v.空白的简要解释 1098