Per iniziare, sono consapevole che le query parametrizzate sono l’opzione migliore, ma mi sto chiedendo cosa rende vulnerabile la strategia che presento. La gente insiste che la soluzione sottostante non funziona, quindi sto cercando un esempio del perché non lo farebbe. Se SQL dinamico è incorporato nel codice utilizzando il seguente escape prima di essere […]
In CodeIgniter, come posso evitare l’iniezione sql? C’è qualche metodo per impostare nel file di configurazione per evitare l’iniezione sql? Sto usando questo codice per selezionare i valori: $this->db->query(“SELECT * FROM tablename WHERE var=’$val1′”); e questo per inserire valori: $this->db->query(“INSERT INTO tablename (`var1`,`var2`) VALUES (‘$val1′,’$val2’)”); Un altro metodo utilizzato per inserire e selezionare i valori […]
Se sì, perché ci sono ancora così tante iniezioni SQL di successo? Solo perché alcuni sviluppatori sono troppo stupidi per usare istruzioni parametrizzate?
diciamo che ho una pagina di elenco di utenti e puoi ordinare le diverse colonne, quando fai clic su “email” passerà sort_by = email sort_direction = asc o desc sort_by = “email” # really params[:sort_by] sort_direction = “asc” # really params[:sort_direction] User.order(“#{sort_by} #{sort_direction}”) # SELECT “users”.* FROM “users” ORDER BY email asc in modo che […]
Ieri stavo parlando con uno sviluppatore, e ha menzionato qualcosa su come limitare gli inserimenti sul campo del database, come stringhe come — (meno meno). Allo stesso modo, quello che so è che è un buon approccio per sfuggire a caratteri HTML come < , > ecc. Non — . È vero? Devo preoccuparmi — […]
sfondo Sono stato contattato per analizzare un Data Provider esistente e so che il seguente codice è difettoso; ma al fine di sottolineare quanto sia grave, ho bisogno di dimostrare che è suscettibile all’iniezione SQL. Domanda Quale parametro “Chiave” potrebbe interrompere la funzione PrepareString e consentirmi di eseguire un’istruzione DROP ? Snippet di codice Public […]
Sto cercando di rendere il mio sito sicuro contro gli attacchi SQL injection. Qualcuno ha dei buoni collegamenti per rendere il sito sicuro contro questi tipi di attacchi in un sito ASP.NET (c #, moduli web)? MODIFICARE: Dovrei sottolineare che sto usando Entity Framework
Sono consapevole che l’ iniezione SQL è piuttosto pericolosa . Ora nel mio codice C # compongo query parametrizzate con class SqlCommand : SqlCommand command = …; command.CommandText = “SELECT * FROM Jobs WHERE JobId = @JobId;”; command.Parameters.Add(“@JobId”, SqlDbType.UniqueIdentifier ).Value = actualGuid; command.ExecuteNonQuery(); Ciò renderà automaticamente il mio codice immune all’iniezione SQL? Devo fare qualcosa […]
Ho letto e provato a inserire query sql vulnerabili nella mia applicazione. Non è abbastanza sicuro. Sto semplicemente usando la connessione Statement per convalide del database e altre operazioni di inserimento. Gli stati preparati sono sicuri? e inoltre ci saranno problemi anche con questa affermazione?
Devo evitare di essere vulnerabile all’iniezione SQL nella mia applicazione ASP.NET. Come potrei realizzare questo?