Pertanyaan yang diberi tag «sql-injection»

Benarkah prosedur tersimpan mencegah serangan injeksi SQL terhadap database PostgreSQL? Saya melakukan sedikit riset dan menemukan bahwa SQL Server, Oracle dan MySQL tidak aman terhadap injeksi SQL bahkan jika kita hanya menggunakan prosedur tersimpan. Namun, masalah ini tidak ada di PostgreSQL. Apakah implementasi prosedur tersimpan dalam inti PostgreSQL mencegah serangan …

83 postgresql  security  sql-injection 

Dalam Postgres, apakah query yang disiapkan dan fungsi yang didefinisikan pengguna setara sebagai mekanisme untuk menjaga terhadap injeksi SQL ? Apakah ada kelebihan tertentu dalam satu pendekatan dibandingkan yang lain?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Saya membuat prosedur tersimpan berikut ini: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Sekarang, saya mencoba melakukan sesuatu seperti ini. Mungkin saya melakukan ini salah, tapi saya ingin memastikan bahwa prosedur seperti …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

Saya menggunakan MySQL 5.5.21, dan mencoba memasukkan karakter wajah smiley '\ xF0 \ x9F \ x98 \ x8A'. Tetapi untuk kehidupan saya, saya tidak tahu bagaimana melakukannya. Menurut berbagai forum yang telah saya baca, itu mungkin. Tetapi setiap kali saya mencobanya, data akan terpotong. mysql> INSERT INTO hour ( `title`, …

18 mysql  character-set  sql-injection 

Saya pernah mendengar seseorang berkata Anda tidak ingin menggunakan Dynamic SQL. Bisakah Anda memberikan contoh nyata atau contoh nyata? Secara pribadi, saya kode beberapa kali di database saya. Saya pikir itu OK karena fleksibilitas. Dugaan saya adalah tentang SQL Injection atau Performance. Ada yang lain?

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Saya sedang menguji aplikasi berbasis oracle dan saya telah menemukan kode berikut: Kueri = "PILIH nama DARI karyawan DI MANA id = '" + PKID + "';" yaitu string kueri berisi tanda kutip di sekitar nilai PKID yang diperoleh langsung dari URL. Jelas, ini adalah injeksi SQL klasik yang menunggu …

12 oracle  sql-injection 

Apa metode SQL Server pengidentifikasi kutipan aman untuk generasi sql dinamis. MySQL sudah quote_identifier PostgreSQL punya quote_ident Bagaimana saya memastikan diberikan nama kolom yang dihasilkan secara dinamis untuk pernyataan yang dihasilkan secara dinamis bahwa kolom itu sendiri bukan serangan injeksi SQL. Katakanlah saya punya Pernyataan SQL, SELECT [$col] FROM table; …

11 sql-server  security  sql-injection 

Saya melihat prosedur lama yang tersimpan hari ini dan memerhatikan itu menggunakan quotenameparameter input. Setelah melakukan penggalian untuk mencari tahu apa yang dilakukannya, saya menemukan situs ini . Saya sekarang mengerti apa yang dilakukannya dan bagaimana menggunakannya tetapi situs tersebut mengatakan itu digunakan sebagai mitigasi dari serangan SQL Injection. Ketika …

9 sql-server-2008  t-sql  sql-injection 

Saya melihat kode dari pengembang menggunakan konversi tanggal implisit. Saya ingin jawaban yang pasti mengapa mereka tidak melakukan ini. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle  sql-injection