Perguntas com a marcação «sql-injection»

É verdade que os procedimentos armazenados impedem ataques de injeção de SQL nos bancos de dados PostgreSQL? Eu fiz uma pequena pesquisa e descobri que o SQL Server, Oracle e MySQL não são seguros contra injeção de SQL, mesmo se usarmos apenas procedimentos armazenados. No entanto, esse problema não existe …

83 postgresql  security  sql-injection 

No Postgres, as consultas preparadas e as funções definidas pelo usuário são equivalentes como um mecanismo de proteção contra a injeção de SQL ? Existem vantagens particulares em uma abordagem em relação à outra?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Eu fiz o seguinte procedimento armazenado: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Agora, tentei fazer algo assim. Talvez eu esteja fazendo isso errado, mas quero ter certeza de que esse procedimento …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

Estou no MySQL 5.5.21 e estou tentando inserir o caractere de rosto sorridente '\ xF0 \ x9F \ x98 \ x8A'. Mas para a minha vida, não consigo descobrir como fazê-lo. De acordo com vários fóruns que eu tenho lido, é possível. Mas sempre que eu tento, os dados ficam …

18 mysql  character-set  sql-injection 

Ouvi dizer que você não deseja usar o SQL dinâmico. Você pode dar um exemplo concreto ou exemplo da vida real? Pessoalmente, codifico algumas vezes no meu banco de dados. Eu acho que está tudo bem, porque é flexibilidade. Meu palpite é sobre injeção ou desempenho de SQL. Algo mais?

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Estou testando um aplicativo baseado em oracle e encontrei o seguinte código: Consulta = "SELECT nome dos funcionários WHERE id = '" + PKID + "';" isto é, a string de consulta contém aspas ao redor do valor PKID, obtido diretamente do URL. Obviamente, essa é uma injeção clássica de …

12 oracle  sql-injection 

Qual é o método do SQL Server de identificadores de cotação segura para geração dinâmica de sql. MySQL tem quote_identifier O PostgreSQL possui quote_ident Como garantir um nome de coluna gerado dinamicamente para uma instrução gerada dinamicamente que a própria coluna não é um ataque de injeção de SQL. Digamos …

11 sql-server  security  sql-injection 

Eu estava olhando para um antigo procedimento armazenado hoje e notei que estava usando quotenameos parâmetros de entrada. Depois de fazer algumas escavações para descobrir o que isso faz exatamente me deparei com este site . Agora eu entendo o que ele faz e como usá-lo, mas o site diz …

9 sql-server-2008  t-sql  sql-injection 

Vejo o código dos desenvolvedores usando a conversão implícita de datas. Eu gostaria de uma resposta definitiva para por que eles não deveriam fazer isso. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle  sql-injection