问题标签 [sql-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
sql - 如何防止 Oracle SQLPlus 中的 SQL 注入?
显然,如果我使用 JDBC/ODBC,我可以使用绑定变量和准备好的语句来防止 SQL 注入。但是,当数据被传递到最终调用 Oracle SQLPlus 的批处理时,有没有办法防止 SQL 注入?例如:
查询.sql:
如果我这样从 SQLPlus 调用这个脚本:
我将得到以下输出:
如您所见,SQLPlus 命令行参数使用简单的宏替换。有没有我想念的替代方法?否则,我如何防止它被利用?
php - 如何在 PHP 中为动态查询构建参数化 PDO 语句?
抱歉,如果这已经被问过了。我已经看到有关静态 SQL 的答案,但在这种情况下,我想使用 PDO->prepare() 作为在运行时动态构建的查询字符串。
分解成一个简单的例子:
如何将其重写为 db->prepare()?
我也应该即时构建 statement->execute(array(':param' => $var))) 吗?
有没有更好/更整洁的方法?
php - PHP 包含数字
如果我像这样构建我的页面,我是否必须检查 news_id 在 news.php 中是否也是数字?或者这样安全吗?
索引.php:
新闻.php:
.net - 表适配器 SQL 注入
嗨,我正在使用一个数据集,在该数据集中我有一个表适配器。在我的表适配器中,我使用存储过程作为查询。如果我使用以下行通过我的表适配器插入表单数据,它对 SQL 注入安全吗?谢谢。
sql - 什么是 SQL 注入?
有人可以解释 SQL 注入吗?它是如何导致漏洞的?SQL 的注入点到底在哪里?
c# - C# 程序集注入检查
我正在用 C# 为 MS SQL 2005 创建一个程序集。该程序集创建一个存储过程并根据传递给存储过程的参数运行动态查询。
C#中是否有一个简单的函数来防止SQL注入?
例如
这个问题是针对标准查询回答的......但是在无法构建真正动态查询的情况下,我可以在 C# 中使用什么来进行注入检查?
例如,这些可能不起作用:
使用@dbName;
选择 * 从 @table
打开对称密钥@keyName
ETC
php - PHP 中的 mysqli 类是否 100% 防止 sql 注入?
我看过很多关于 mysqli 的文章和问题,他们都声称它可以防止 sql 注入。但它是万无一失的,还是有办法绕过它。我对跨站点脚本或网络钓鱼攻击不感兴趣,只对 sql 注入感兴趣。
我应该首先说的是我正在使用准备好的语句。这就是我对mysqli的意思。如果我使用没有任何字符串连接的准备好的语句,那么它是万无一失的吗?
php - 这个 PHP 代码有多危险?
这个 php 代码有多危险?可以做些什么呢?
sql - 我对 SQL 注入安全吗
当我在 PostgresSQL 中使用类似的东西时,我想知道我是否可以安全地防止 SQL 注入:
我想用这个函数列出以字母开头的玩家名字。
给我姓氏以 A 开头的玩家。
我试图注入sql
我安全吗?
哪种情况可以注射?
问候
php - 为sql插入转义字符串的最佳方法?
为 sql 插入、更新转义字符串的最佳方法是什么?
我想允许特殊字符,包括 ' 和 "。在插入语句中使用它之前搜索和替换每个字符串的最佳方法是什么?
谢谢