那些遇到过的问题

SQL注入:不是替换("'","''")足够好吗?

Mr *_*ter 11 t-sql sql-server

虽然我当然可以看到使用参数进行SQL查询的优势,特别是在处理日期时间等事情时,我仍然不确定参数是防止SQL注入的唯一方法.
事实是,我继承了一个应用程序,它有类似的东西

"SELECT Field FROM Table WHERE Filter='"+userinput.Replace("'", "''")+"'"
Run Code Online (Sandbox Code Playgroud)

到处都是.现在虽然那些看起来不太令我愉快,但我不介意重写它们,我的问题是,我需要吗?尽我所能,我看不到用这种方式执行SQL注入的方法.

Dav*_*vid 16

不,这还不够.如果您的平台和/或RDBMS支持这两种功能,那么它将在紧要关头,但它是一个非常弱的替代方案,并且使用参数化查询或参数化存储过程会更好.

OWASP的SQL注入预防备忘单

...与使用参数化查询相比,这种方法很脆弱.只有谨慎使用此技术才能以经济有效的方式改进遗留代码.

还有更多

SQL注入 - 但为什么逃脱报价不再安全?

Sql注入神话和谬误

删除所有单引号和短划线字符后的SQL注入

  • 请给出一些简单的原因/示例,说明为什么它不够好而不是提供替代建议. (6认同)
  • 实际上,如果您知道您的数据库并且您的代码只会与该数据库系统通信,并且仅在需要写入数据库时​​才进行转义,那么它就可以正常工作,并且不需要其他字符串操作来消除 SQL 注入。使用准备好的语句是一种很好的做法,以便您的代码可以跨不同的数据库系统工作。 (2认同)

归档时间:

查看次数:

14049 次

最近记录:

11 年,5 月 前
删除所有单引号和短划线字符后的SQL注入 14
更多相关链接
相关归档
GUID冲突可能吗? 121
为什么我得到"过程期望'ntext/nchar/nvarchar'类型的参数'@statement'." 当我尝试使用sp_executesql? 90
将TSQLMonitor与使用新ODBC dbExpress驱动程序的TSQLConnection一起使用是否有技巧? 38
如何将SQL Server 2008数据库图表导出到另一个数据库? 30
如果在sql中存在语句到linq 28
INSERT IF NOT NOT EXISTS但以任何方式返回身份 20
如何在SQL中按多列连接两个表? 10
如何在SQL Server 2005中进行sql表的尴尬转移? 7
SQL Server 2008 R2 - 选择分层数据 7
MS SQL服务器:显示零值或NULL值整数字段的空白 3
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
403 Forbidden vs 401 Unauthorized HTTP响应 2544
如何将列表拆分为大小均匀的块? 2068
没有jQuery的$(document).ready等价 1925
JavaScript发布请求,如表单提交 1465
int32的最大值是多少? 1383
如何用"喜欢"查询MongoDB? 1331
六角透明的颜色 1219
require,include,require_once和include_once之间的区别? 1166
如何在Vim中有效地处理多个文件? 1074