Datenbankadministratoren sql-injection

6

Verhindern gespeicherte Prozeduren die SQL-Injektion?

Stimmt es, dass gespeicherte Prozeduren SQL-Injection-Angriffe auf PostgreSQL-Datenbanken verhindern? Ich habe ein wenig nachgeforscht und festgestellt, dass SQL Server, Oracle und MySQL nicht gegen SQL Injection sicher sind, auch wenn wir nur gespeicherte Prozeduren verwenden. Dieses Problem existiert jedoch nicht in PostgreSQL. Verhindert die Implementierung der gespeicherten Prozedur im PostgreSQL-Kern …

83 postgresql security sql-injection

1

SQL-Injection in Postgres-Funktionen im Vergleich zu vorbereiteten Abfragen

Sind in Postgres vorbereitete Abfragen und benutzerdefinierte Funktionen gleichbedeutend mit einem Mechanismus zum Schutz vor SQL-Injection ? Gibt es besondere Vorteile bei einem Ansatz gegenüber dem anderen?

30 postgresql plpgsql prepared-statement sql-injection functions

2

Warum tritt SQL Injection bei dieser Abfrage in einer gespeicherten Prozedur nicht auf?

Ich habe die folgende gespeicherte Prozedur erstellt: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Jetzt habe ich versucht, so etwas zu tun. Vielleicht mache ich das falsch, aber ich möchte sicher sein, …

18 sql-server sql-server-2008 dynamic-sql sql-injection

2

Wie kann ich Smileys in MySQL einfügen? (😊)

Ich bin auf MySQL 5.5.21 und versuche, das Smiley-Zeichen '\ xF0 \ x9F \ x98 \ x8A' einzufügen. Aber für das Leben von mir kann ich nicht herausfinden, wie es geht. Nach verschiedenen Foren, die ich gelesen habe, ist es möglich. Aber wenn ich es versuche, werden die Daten einfach …

17 mysql character-set sql-injection

4

Warum möchten Sie Dynamic SQL in gespeicherten Prozeduren vermeiden?

Ich habe gehört, dass Sie Dynamic SQL nicht verwenden möchten. Können Sie ein konkretes oder reales Beispiel geben? Persönlich codiere ich es einige Male in meiner Datenbank. Ich denke, es ist in Ordnung, weil es Flexibilität ist. Meine Vermutung bezieht sich auf SQL Injection oder Performance. Noch etwas?

13 sql-server performance stored-procedures dynamic-sql sql-injection

3

Gibt es eine Möglichkeit, aus der Zeichenfolge auszubrechen und SQL zu injizieren, ohne ein einziges Anführungszeichen in oracle zu verwenden?

Ich teste eine Oracle-basierte Anwendung und habe folgenden Code gefunden: Query = "SELECT name FROM employee WHERE id = '" + PKID + "';" Das heißt, die Abfragezeichenfolge enthält Anführungszeichen um den PKID-Wert, der direkt aus der URL abgerufen wird. Offensichtlich ist dies eine klassische SQL-Injection, die nur darauf wartet, …

12 oracle sql-injection

1

Welche Funktion zitiert einen Bezeichner in dynamic-sql mit SQL Server?

Was ist die SQL Server-Methode zum sicheren Zitieren von Bezeichnern für die dynamische SQL-Generierung? MySQL hat quote_identifier PostgreSQL hat quote_ident Wie stelle ich sicher, dass bei einem dynamisch generierten Spaltennamen für eine dynamisch generierte Anweisung die Spalte selbst kein SQL-Injection-Angriff ist? Angenommen, ich habe eine SQL-Anweisung. SELECT [$col] FROM table; …

11 sql-server security sql-injection

1

Sollten wir weiterhin QUOTENAME verwenden, um vor Injektionsangriffen zu schützen?

Ich habe mir heute eine alte gespeicherte Prozedur angesehen und festgestellt, dass sie quotenamefür die Eingabeparameter verwendet wird. Nachdem ich ein bisschen gegraben hatte, um herauszufinden, was das genau macht, bin ich auf diese Seite gestoßen . Ich verstehe jetzt, was es tut und wie es verwendet wird, aber die …

9 sql-server-2008 t-sql sql-injection

2

Sollten Datumsformate in SQL-Anweisungen angegeben werden?

Ich sehe Code von Entwicklern, die implizite Datumskonvertierung verwenden. Ich hätte gerne eine endgültige Antwort darauf, warum sie das nicht tun sollten. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle sql-injection

3

Suchen Sie die Quelle einer wiederkehrenden Massen-SQL-Bearbeitung auf einem Server

Ich werde versuchen, mein Problem so klar wie möglich zu erklären. Auf dem Server eines von mir unterstützten Unternehmens werden viele Websites ausgeführt. Auf diesem Server wird Windows Server 2012 mit Microsoft SQL Server 2014 ausgeführt. Auf fast allen Websites wird eine proprietäre Webanwendung ausgeführt, die von derselben Firma erstellt …

7 sql-server sql-server-2014 security sql-injection

Als «sql-injection» getaggte Fragen