«sql-injection» etiketlenmiş sorular

Depolanan prosedürlerin PostgreSQL veritabanlarına SQL enjeksiyon saldırılarını önlediği doğru mu? Biraz araştırma yaptım ve yalnızca saklı yordamlar kullanıyor olsak bile SQL Server, Oracle ve MySQL'in SQL enjeksiyonuna karşı güvenli olmadığını öğrendim. Ancak, bu sorun PostgreSQL'de mevcut değildir. PostgreSQL çekirdeğindeki saklı yordam uygulaması, SQL enjeksiyon saldırılarını engelliyor mu, yoksa başka bir …

83 postgresql  security  sql-injection 

Postgres'te sorgular ve kullanıcı tanımlı fonksiyonlar SQL enjeksiyonuna karşı korunma mekanizması olarak eşdeğer olarak hazırlanır mı? Bir yaklaşımda diğerine göre belirli avantajlar var mı?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Aşağıdaki saklı yordamı yaptım: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Şimdi böyle bir şey yapmayı denedim. Belki bu yanlış yapıyorum, ama böyle bir prosedür herhangi bir SQL enjeksiyon önleyebilir emin olmak …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

MySQL 5.5.21 kullanıyorum ve '\ xF0 \ x9F \ x98 \ x8A' gülen yüz karakterini eklemeye çalışıyorum. Ama hayatım boyunca, nasıl yapılacağını anlayamıyorum. Okuduğum çeşitli forumlara göre bu mümkün. Ama ne zaman denersem, veri kesilir. mysql> INSERT INTO hour ( `title`, `content`, `guid` , `published` , `lang` , `type` , …

18 mysql  character-set  sql-injection 

Birinin Dinamik SQL kullanmak istemediğini söylediğini duydum. Somut bir örnek veya gerçek hayat örneği verebilir misiniz? Şahsen, veritabanımda birkaç kez kodluyorum. Bence sorun yok çünkü esneklik. Tahminim SQL Enjeksiyon veya Performans hakkında. Başka herhangi bir şey?

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Oracle tabanlı bir uygulamayı test ediyorum ve aşağıdaki kodu buldum: Sorgu = "ID = '" + PKID + "';" yani sorgu dizesi, doğrudan URL'den elde edilen PKID değeri etrafında tırnaklar içerir. Açıkçası, bu gerçekleşmesini bekleyen klasik bir SQL enjeksiyonudur ... uygulama CA SiteMinder'in arkasındadır ve tek bir alıntı içeren (herhangi …

12 oracle  sql-injection 

Dinamik sql üretimi için güvenli tırnak tanımlayıcılarının SQL Server yöntemi nedir. MySQL var quote_identifier PostgreSQL, quote_ident Dinamik olarak oluşturulmuş bir ifade için sütunun kendisinin bir SQL enjeksiyon saldırısı olmadığını dinamik olarak oluşturulmuş bir sütun adı verildiğinden nasıl emin olabilirim. Diyelim ki bir SQL Bildirimim var, SELECT [$col] FROM table; ki …

11 sql-server  security  sql-injection 

Bugün eski bir saklı yordam bakıyordum quotenameve giriş parametreleri üzerinde kullandığını fark ettim . Biraz kazma yaptıktan sonra tam olarak bu siteye rastladım . Şimdi ne yaptığını ve nasıl kullanılacağını anlıyorum, ancak site SQL Enjeksiyon saldırılarının hafifletilmesi olarak kullanıldığını söylüyor. Asp.net kullanarak doğrudan bir veritabanını sorgulayan uygulamalar geliştirmek için kullandığımda, …

9 sql-server-2008  t-sql  sql-injection