问题标签 [sql-injection]

我遇到了需要使用 LINQ 的 ExecuteCommand 方法来运行插入的情况。

类似的东西（为了这个问题而简化）：

问题是这是否与参数化查询一样是 SQL 注入证明？

WebSphere 是否提供像 mod_security 这样的 HTTP 输入过滤器/防火墙？

我知道让 Apache 成为 WebSphere 的 HTTP 服务器前端是可能的，但这种类型的配置超出了我的影响。我们只能使用 WebSphere 本身可以做的事情。

编辑-澄清一下，我不是在这里寻找安全性的身份验证、授权或不可否认方面。我想要一个基于规则的 HTTP 防火墙，比如在 WebSphere 上运行的 mod_security。

另外，我知道在 1.x 版本中，Java 中有 mod_security 的部分实现。我们目前有一个定制的内部解决方案，它与工作类似，但不那么随意配置。谢谢！

我是网络编程新手，一直在探索与网络安全相关的问题。

我有一个表单，用户可以在其中发布两种类型的数据 - 我们称它们为“安全”和“不安全”（从 sql 的角度来看）。

大多数地方建议在清理“不安全”部分（使其“安全”）之后将数据的两个部分存储在数据库中。

我想知道另一种方法 - 将“安全”数据存储在数据库中，将“不安全”数据存储在文件中（数据库外部）。当然，这种方法会产生一系列与维护文件和数据库条目之间的关联相关的问题。但是这种方法是否还有其他重大问题，尤其是与安全有关的问题？

更新：感谢您的回复！抱歉，我不清楚我认为什么是“安全的”，因此需要进行一些澄清。我正在使用 Django，我认为“安全”的表单数据是通过表单的“cleaned_data”字典访问的，该字典执行所有必要的转义。

出于这个问题的目的，让我们考虑一个 wiki 页面。wiki 页面的标题不需要附加任何样式。因此，这可以通过表单的“cleaned_data”字典访问，该字典会将用户输入转换为“安全”格式。但由于我希望为用户提供任意设置内容样式的能力，我可能无法使用“cleaned_data”字典访问内容部分。

文件方法是否解决了这个问题的安全方面？还是我忽略了其他安全问题？

我有这样的代码：

读完这篇文章后，我相信同样的逻辑也适用。

有人认为这会受到 SQL 注入攻击吗？

我有一个面向公众的网站，在过去几周内收到了许多 SQL 注入攻击。我专门使用参数化存储过程，所以我相信没有成功的攻击，但最近的日志显示了一个有趣的技术：

为了清楚起见，添加了换行符

谁能阐明“CAST and EXEC”试图做什么？

我正在创建一个站点，不幸的是，用户必须提供一个正则表达式才能在 MySQL WHERE 子句中使用。当然，我必须验证用户输入以防止 SQL 注入。该网站是用 PHP 制作的，我使用以下正则表达式来检查我的正则表达式：

由于 PHP 处理正则表达式的方式，这是双重转义的。它应该工作的方式是只匹配安全的正则表达式，没有未转义的单引号。但是主要是自学成才，我想知道这是否是一种安全的方法。

从我的前任那里接过一些代码，我发现了一个使用 Like 运算符的查询：

试图避免 SQL 注入问题并将其参数化，但我不太确定如何实现。有什么建议么 ？

请注意，我需要一个经典 ADO.NET 的解决方案——我真的没有资格将此代码切换到 LINQ 之类的东西。

让我们说一下 MySQL 数据库（如果重要的话）。

我们刚刚获得了以下代码，作为离岸开发人员提供的新应用程序中复杂搜索查询的解决方案。我对动态 SQL 的使用持怀疑态度，因为我可以使用 '; 关闭 SQL 语句。然后执行一个将在数据库上执行的讨厌的操作！

关于如何修复注入攻击的任何想法？

在阅读 SQL 注入和 XSS 时，我想知道你们是否有一个字符串可以用来识别这些漏洞和其他漏洞。

一个字符串，可以被扔到网站数据库中以黑盒检查该字段是否安全。（将对一些内部工具进行大型测试）

粗略的例子，想知道你们是否知道更多？

“一个”或“1”=“1”

"center'> <脚本>alert('test')</script>"

编辑：在 SO 上找到了一个不错的XSS 问题