2
英数字だけがクエリに使用されていることを確認したら、SQLインジェクションがなくていいはずですか?SQLインジェクションを避ける
A
答えて
6
SQL Injection Prevention CheatSheet
弾丸ポイント:
- 防衛オプション1:すべての開発者が最初にデータベースクエリを作成する方法を教えるべきかプリペアドステートメント(パラメータ化クエリ)
- ...。
- 防衛オプション2:ストアドプロシージャ
- ...安全に実装されています。
- 防衛オプション3:すべてのユーザー供給される入力
- を脱出...虚弱なパラメータ化クエリを使用する場合と比較して。
0
技術的には、これはおそらく正しいでしょう。それは、 - または同様のトリッキーを使ってブロックするからです。最近のほとんどのプラットフォームでは、入力を適切にエスケープし、意図しない方法でデータベースに影響を与えないようにするための、より堅牢な方法があります。
5
それが唯一の英数字で有用なクエリを記述することはかなり困難です。 paramterizedクエリを使用して、ショートカット以外のショートカットを検索しないでください。
関連する問題
- 1. Spring(MVC)SQLインジェクション回避?
- 2. JavaScriptのテキストフィールドにSQLインジェクションを避けるには?
- 3. SQLインジェクションを避けるために、phpでデータをサニタイズする方法は?
- 4. SQLインジェクションを避けるために、pysqliteでカラム名をパラメータ化する方法
- 5. SQLインジェクション:それを避けるためにしようとしたが、エラー
- 6. SQLインジェクションを避けるためにexec SQLに代わるものはSP_EXECUTESQLですか?
- 7. SQL ServerのブラインドSQLインジェクションの脆弱性を回避するためのベストプラクティス - ASP.Net
- 8. コマンド・パラメータを使用したSQLインジェクションの回避
- 9. preparedStatementはSQLインジェクションを回避しますか?
- 10. mysql_real_escape_stringとstripslashesを使用したSQLインジェクションの回避
- 11. PreparedStatementsを使用しないSQLインジェクションの回避方法
- 12. SQLインジェクション
- 13. MSAccessをSQLインジェクション
- 14. PHPとPostgreSQL:クロスサイトスクリプティングとSQLインジェクション攻撃の回避
- 15. Zend db - SQLインジェクションを避けるためにいつ引用する必要がありますか?
- 16. 永続的なxss/sqlインジェクションを避けながら、dbにHTMLを保存する
- 17. SQLインジェクション? CHAR(45,120,49,45,81,45)
- 18. コメントフィールドにSQLインジェクション
- 19. SQLインジェクションcshtml
- 20. 停止SQLインジェクション
- 21. DVWA SQLインジェクション
- 22. EJB3 SQLインジェクション
- 23. SQLAlchemy + SQLインジェクション
- 24. フォームハック/ XSS/SQLインジェクション
- 25. プリペアドステートメントとSQLインジェクション
- 26. SQLインジェクション(java)
- 27. HibernateとSQLインジェクション
- 28. SqlCeResultSetとSQLインジェクション
- 29. C#SQLインジェクション
- 30. SQLインジェクションとプリペアドステートメント
'()= +'などの必要な文字はどのように使用できますか? – Oded
@oded、コンマや引用符を忘れないでください。 –
多分、彼/彼女は入力フィールドで、クエリ自体ではなく、クエリを実行することを意味しましたか? – Dave