Articles of sql injection

Como evitar que uma SQL Injection escape strings

Eu tenho algumas consultas (para um database de access) como este: string comando = “SELECT * FROM ANAGRAFICA WHERE E_MAIL='” + user + “‘ AND PASSWORD_AZIENDA='” + password + “‘”; e gostaria de “escaping” usuário e senha, evitando uma injeção. Como posso fazer isso com C # e .NET 3.5? Estou pesquisando algumas coisas como […]

Injeção SQL no INSERT

Eu criei uma pequena página web de pesquisa na intranet da nossa empresa. Esta página da web não é acessível a partir do exterior. O formulário é simplesmente um par de botões de opção e uma checkbox de comentários. Eu gostaria de manter boas práticas de codificação e gostaria de me proteger contra injeções de […]

Evitando injeção de SQL sem parâmetros

Estamos tendo outra discussão aqui sobre o uso de consultas SQL parametrizadas em nosso código. Nós temos dois lados na discussão: Eu e alguns outros que dizem que devemos sempre usar parâmetros para proteger contra injeções sql e os outros caras que não acham que é necessário. Em vez disso, eles querem replace apóstrofos simples […]

Proteção clássica de injeção de SQL ASP

O que é uma maneira forte de proteger contra a injeção de sql para um aplicativo asp clássico? FYI eu estou usando com um database de access. (Eu não escrevi o aplicativo)

Os parâmetros são realmente suficientes para evitar injeções de Sql?

Tenho pregado tanto para meus colegas quanto para SO sobre a utilidade de usar parâmetros em consultas SQL, especialmente em aplicativos .NET. Eu cheguei a prometer a imunidade contra ataques de injeção de SQL. Mas estou começando a me perguntar se isso é realmente verdade. Há algum ataque de injeção SQL conhecido que será bem-sucedido […]

Como um PreparedStatement evita ou impede a injeção de SQL?

Eu sei que PreparedStatements evita / previne SQL Injection. Como isso acontece? A consulta final do formulário que é construída usando PreparedStatements será uma string ou não?

Prevenção de ataques de CSRF, XSS e SQL Injection no JSF

Eu tenho um aplicativo da web construído no JSF com o MySQL como DB. Eu já implementei o código para evitar o CSRF em meu aplicativo. Agora, como meu framework subjacente é o JSF, acho que não preciso lidar com o ataque XSS, pois ele já é tratado pelo UIComponent . Não estou usando JavaScript […]

Java – escape string para evitar injeção de SQL

Eu estou tentando colocar um pouco de injeção de sql no lugar em java e estou achando muito difícil trabalhar com a function de string “replaceAll”. Em última análise, eu preciso de uma function que converta qualquer \ to \\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ Eu levantei algum código com o qual eu estava trabalhando e todas as funções […]

Como posso adicionar input fornecida pelo usuário a uma instrução SQL?

Eu estou tentando criar uma instrução SQL usando dados fornecidos pelo usuário. Eu uso um código semelhante a este em c #: var sql = “INSERT INTO myTable (myField1, myField2) ” + “VALUES (‘” + someVariable + “‘, ‘” + someTextBox.Text + “‘);”; var cmd = new SqlCommand(sql, myDbConnection); cmd.ExecuteNonQuery(); e isso em VB.NET: Dim […]

Por que sempre preferimos usar parâmetros em instruções SQL?

Eu sou muito novo para trabalhar com bancos de dados. Agora posso escrever os SELECT , UPDATE , DELETE e INSERT . Mas tenho visto muitos fóruns onde preferimos escrever: SELECT empSalary from employee where salary = @salary …ao invés de: SELECT empSalary from employee where salary = txtSalary.Text Por que sempre preferimos usar parâmetros […]