Bei Fragen zu SQL-Injection-Schwachstellen.
Stimmt es, dass gespeicherte Prozeduren SQL-Injection-Angriffe auf PostgreSQL-Datenbanken verhindern? Ich habe ein wenig nachgeforscht und festgestellt, dass SQL Server, Oracle und MySQL nicht gegen SQL Injection sicher sind, auch wenn wir nur gespeicherte Prozeduren verwenden. Dieses Problem...
Sind in Postgres vorbereitete Abfragen und benutzerdefinierte Funktionen gleichbedeutend mit einem Mechanismus zum Schutz vor SQL-Injection ? Gibt es besondere Vorteile bei einem Ansatz gegenüber dem
Ich habe die folgende gespeicherte Prozedur erstellt: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Jetzt habe ich versucht, so etwas...
Ich bin auf MySQL 5.5.21 und versuche, das Smiley-Zeichen '\ xF0 \ x9F \ x98 \ x8A' einzufügen. Aber für das Leben von mir kann ich nicht herausfinden, wie es geht. Nach verschiedenen Foren, die ich gelesen habe, ist es möglich. Aber wenn ich es versuche, werden die Daten einfach abgeschnitten....
Ich habe gehört, dass Sie Dynamic SQL nicht verwenden möchten. Können Sie ein konkretes oder reales Beispiel geben? Persönlich codiere ich es einige Male in meiner Datenbank. Ich denke, es ist in Ordnung, weil es Flexibilität ist. Meine Vermutung bezieht sich auf SQL Injection oder Performance....
Ich teste eine Oracle-basierte Anwendung und habe folgenden Code gefunden: Query = "SELECT name FROM employee WHERE id = '" + PKID + "';" Das heißt, die Abfragezeichenfolge enthält Anführungszeichen um den PKID-Wert, der direkt aus der URL abgerufen wird. Offensichtlich ist dies eine klassische...
Was ist die SQL Server-Methode zum sicheren Zitieren von Bezeichnern für die dynamische SQL-Generierung? MySQL hat quote_identifier PostgreSQL hat quote_ident Wie stelle ich sicher, dass bei einem dynamisch generierten Spaltennamen für eine dynamisch generierte Anweisung die Spalte selbst kein...
Ich habe mir heute eine alte gespeicherte Prozedur angesehen und festgestellt, dass sie quotenamefür die Eingabeparameter verwendet wird. Nachdem ich ein bisschen gegraben hatte, um herauszufinden, was das genau macht, bin ich auf diese Seite gestoßen . Ich verstehe jetzt, was es tut und wie es...
Ich sehe Code von Entwicklern, die implizite Datumskonvertierung verwenden. Ich hätte gerne eine endgültige Antwort darauf, warum sie das nicht tun sollten. SELECT * from dba_objects WHERE Created >=
Ich werde versuchen, mein Problem so klar wie möglich zu erklären. Auf dem Server eines von mir unterstützten Unternehmens werden viele Websites ausgeführt. Auf diesem Server wird Windows Server 2012 mit Microsoft SQL Server 2014 ausgeführt. Auf fast allen Websites wird eine proprietäre...