0
私はcreate、drop、truncate、deleteコマンド正しいの注射を防ぐことができるはずすなわちSQLインジェクションの防止方法
explain ([arbitrary sql string])
のSQL文を中心に説明包まれた場合は?
私はこれを試してみましたが、それはうまくいくようですが、忘れてしまったコーナーケースがあるかどうかはわかりません。
A
答えて
6
いいえ。それは動作しません。あなたがやったすべては、攻撃者は、彼らはまた、通常のシングルに加えて)文字を必要と把握するために余計な作業のちょうど非常に少し間に合わある
Explain(select columns from table where value = '');injected sql here --)
:あなたはまだこのようなもので終わる可能性見積もり。
SQLインジェクションを防止したい場合は、常ににパラメータ化クエリを使用してください。
+0
質問の文脈を伝える。 –
+0
@ EricYang、信頼できないソースから任意のSQLを決して実行しないでください。 –
3
あなたは、一般的に必要とする:
1 /あなたはホワイトリストのアプローチに必要なデータを検証します。文字や他のもの
をブラックリストしないでください2 /パラメータ化クエリを使用
3 /いつでも
関連する問題
- 1. フォームデータ:防止SQLインジェクション
- 2. 防止SQLインジェクションとのSqlDataAdapter
- 3. PHP防止SQLインジェクション/ XSS
- 4. PHP SQLインジェクション防止技術
- 5. PHP SQLインジェクション防止構文
- 6. SQLインジェクション防止用パッケージ
- 7. c#to PHP SQLインジェクション防止
- 8. SQL Server - SQLインジェクションを防止する
- 9. ストアドプロシージャでのSQLインジェクションの防止
- 10. SQLインジェクションの挿入を防止する
- 11. SQLインジェクションの防止 - mybatisとspring
- 12. ストアドプロシージャによるSQLインジェクションの防止
- 13. rubyスクリプトによるSQLインジェクションの防止
- 14. Codeigniter RestFul library SQLインジェクションを防止する
- 15. SQLインジェクション防止:最大対策
- 16. SQLインジェクションを防止するHttpUtility.UrlEncode
- 17. SQLインジェクションからサイトを防ぐ方法
- 18. 実行されていないSQLでのSQLインジェクションの防止
- 19. SQLインジェクションを防ぐ
- 20. URLインジェクションを防止する
- 21. 停止SQLインジェクション
- 22. Entity Frameworkのと生の文字列クエリSQLインジェクションの防止
- 23. PHPとMySQLのSQLインジェクションのログインページの防止
- 24. SQLインジェクションを防止するためのC#regexでのエラー
- 25. 詳細ページからのSQLインジェクションの防止
- 26. プリペアドステートメント/ SQLite/C++を使用しないSQLインジェクションの防止
- 27. SQLParameterはSQLインジェクションをどのように防止しますか?
- 28. MS Access - 接続文字列のSQLインジェクションを防止する
- 29. SQLインジェクションを防ぐための変数のクリーンアップ方法 - union select?
- 30. addslashes(string)だけでSQLインジェクションを防止できますか?
は、このテキストを試してみてください、動的クエリを使用しないでください - http://blog.endpoint.com/2012/06/ detection-postgres-sql-injection.html - 基本的に最も安全な方法は、入力コントロールの値をプロプリペアドステートメントの値としてのみ使用することです。あるいは、 'quote_literal'や' quote_nullable'を使ってステートメントをラップすることもできます。 – JosMac