Articles of sql injection

Proteção clássica de injeção de SQL ASP

O que é uma maneira forte de proteger contra a injeção de sql para um aplicativo asp clássico? FYI eu estou usando com um database de access. (Eu não escrevi o aplicativo)

Os parâmetros são realmente suficientes para evitar injeções de Sql?

Tenho pregado tanto para meus colegas quanto para SO sobre a utilidade de usar parâmetros em consultas SQL, especialmente em aplicativos .NET. Eu cheguei a prometer a imunidade contra ataques de injeção de SQL. Mas estou começando a me perguntar se isso é realmente verdade. Há algum ataque de injeção SQL conhecido que será bem-sucedido […]

Como um PreparedStatement evita ou impede a injeção de SQL?

Eu sei que PreparedStatements evita / previne SQL Injection. Como isso acontece? A consulta final do formulário que é construída usando PreparedStatements será uma string ou não?

Prevenção de ataques de CSRF, XSS e SQL Injection no JSF

Eu tenho um aplicativo da web construído no JSF com o MySQL como DB. Eu já implementei o código para evitar o CSRF em meu aplicativo. Agora, como meu framework subjacente é o JSF, acho que não preciso lidar com o ataque XSS, pois ele já é tratado pelo UIComponent . Não estou usando JavaScript […]

Java – escape string para evitar injeção de SQL

Eu estou tentando colocar um pouco de injeção de sql no lugar em java e estou achando muito difícil trabalhar com a function de string “replaceAll”. Em última análise, eu preciso de uma function que converta qualquer \ to \\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ Eu levantei algum código com o qual eu estava trabalhando e todas as funções […]

Como posso adicionar input fornecida pelo usuário a uma instrução SQL?

Eu estou tentando criar uma instrução SQL usando dados fornecidos pelo usuário. Eu uso um código semelhante a este em c #: var sql = “INSERT INTO myTable (myField1, myField2) ” + “VALUES (‘” + someVariable + “‘, ‘” + someTextBox.Text + “‘);”; var cmd = new SqlCommand(sql, myDbConnection); cmd.ExecuteNonQuery(); e isso em VB.NET: Dim […]

Por que sempre preferimos usar parâmetros em instruções SQL?

Eu sou muito novo para trabalhar com bancos de dados. Agora posso escrever os SELECT , UPDATE , DELETE e INSERT . Mas tenho visto muitos fóruns onde preferimos escrever: SELECT empSalary from employee where salary = @salary …ao invés de: SELECT empSalary from employee where salary = txtSalary.Text Por que sempre preferimos usar parâmetros […]

Como as instruções preparadas podem proteger contra ataques de injeção de SQL?

Como as instruções preparadas nos ajudam a evitar ataques de injeção de SQL ? Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser corretamente ignorados. Se o modelo da instrução original não for derivado da input externa, […]

Quais são as boas maneiras de impedir a injeção de SQL?

Eu tenho que programar um sistema de gerenciamento de aplicativos para a minha empresa OJT. O front end será feito em C # e o back end em SQL. Agora eu nunca fiz um projeto desse escopo antes; na escola, tínhamos apenas lições básicas sobre SQL. De alguma forma, nosso professor falhou completamente em discutir […]

Como funciona a injeção de SQL do quadrinho XKCD “Bobby Tables”?

Apenas olhando: (Fonte: https://xkcd.com/327/ ) O que esse SQL faz: Robert’); DROP TABLE STUDENTS; — Eu sei tanto ‘ quanto ‘ são para comentários, mas a palavra DROP também não é comentada, já que faz parte da mesma linha?