Articles of sql injection

O preparedStatement evita a injeção de SQL?

Eu li e tentei injetar consultas sql vulneráveis ​​ao meu aplicativo. Não é seguro o suficiente. Estou usando simplesmente a Conexão de Instrução para validações de database e outras operações de inserção. O preparedStatements é seguro? e, além disso, haverá algum problema com esta afirmação também?

As consultas dinâmicas do mysql com sql estão sendo tão seguras quanto as instruções preparadas?

Eu tenho um aplicativo que beneficiaria muito usando consultas mysql dinâmicas em combinação com mysql (mysqli) real escape string. Se eu rodasse todos os dados recebidos do usuário através do escape real do mysql, seria tão seguro quanto usar as instruções preparadas do mysql?

Evitar ataques de injeção SQL em um programa Java

Eu tenho que adicionar uma declaração ao meu programa java para atualizar uma tabela de database: String insert = “INSERT INTO customer(name,address,email) VALUES(‘” + name + “‘,'” + addre + “‘,'” + email + “‘);”; Ouvi dizer que isso pode ser explorado através de uma injeção de SQL como: DROP TABLE customer; Meu programa tem […]

Como posso evitar ataques de injeção de SQL no meu aplicativo ASP.NET?

Eu preciso evitar ser vulnerável a injeção de SQL no meu aplicativo ASP.NET. Como posso conseguir isso?

Como evitar que uma SQL Injection escape strings

Eu tenho algumas consultas (para um database de access) como este: string comando = “SELECT * FROM ANAGRAFICA WHERE E_MAIL='” + user + “‘ AND PASSWORD_AZIENDA='” + password + “‘”; e gostaria de “escaping” usuário e senha, evitando uma injeção. Como posso fazer isso com C # e .NET 3.5? Estou pesquisando algumas coisas como […]

Injeção SQL no INSERT

Eu criei uma pequena página web de pesquisa na intranet da nossa empresa. Esta página da web não é acessível a partir do exterior. O formulário é simplesmente um par de botões de opção e uma checkbox de comentários. Eu gostaria de manter boas práticas de codificação e gostaria de me proteger contra injeções de […]

Evitando injeção de SQL sem parâmetros

Estamos tendo outra discussão aqui sobre o uso de consultas SQL parametrizadas em nosso código. Nós temos dois lados na discussão: Eu e alguns outros que dizem que devemos sempre usar parâmetros para proteger contra injeções sql e os outros caras que não acham que é necessário. Em vez disso, eles querem replace apóstrofos simples […]

Proteção clássica de injeção de SQL ASP

O que é uma maneira forte de proteger contra a injeção de sql para um aplicativo asp clássico? FYI eu estou usando com um database de access. (Eu não escrevi o aplicativo)

Os parâmetros são realmente suficientes para evitar injeções de Sql?

Tenho pregado tanto para meus colegas quanto para SO sobre a utilidade de usar parâmetros em consultas SQL, especialmente em aplicativos .NET. Eu cheguei a prometer a imunidade contra ataques de injeção de SQL. Mas estou começando a me perguntar se isso é realmente verdade. Há algum ataque de injeção SQL conhecido que será bem-sucedido […]

Como um PreparedStatement evita ou impede a injeção de SQL?

Eu sei que PreparedStatements evita / previne SQL Injection. Como isso acontece? A consulta final do formulário que é construída usando PreparedStatements será uma string ou não?