Articles of sql injection

L’uso di SqlCommand con parametri rende il mio programma immune all’iniezione SQL?

Sono consapevole che l’ iniezione SQL è piuttosto pericolosa . Ora nel mio codice C # compongo query parametrizzate con class SqlCommand : SqlCommand command = …; command.CommandText = “SELECT * FROM Jobs WHERE JobId = @JobId;”; command.Parameters.Add(“@JobId”, SqlDbType.UniqueIdentifier ).Value = actualGuid; command.ExecuteNonQuery(); Ciò renderà automaticamente il mio codice immune all’iniezione SQL? Devo fare qualcosa […]

Does the preparedStatement evita l’iniezione SQL?

Ho letto e provato a inserire query sql vulnerabili nella mia applicazione. Non è abbastanza sicuro. Sto semplicemente usando la connessione Statement per convalide del database e altre operazioni di inserimento. Gli stati preparati sono sicuri? e inoltre ci saranno problemi anche con questa affermazione?

Come posso evitare gli attacchi SQL injection nella mia applicazione ASP.NET?

Devo evitare di essere vulnerabile all’iniezione SQL nella mia applicazione ASP.NET. Come potrei realizzare questo?

Le query mysql dinamiche con sql escaping sono altrettanto sicure delle istruzioni preparate?

Ho un’applicazione che trarrebbe grande beneficio dall’utilizzo di query mysql dinamiche in combinazione con una vera stringa di escape mysql (mysqli). Se eseguissi tutti i dati ricevuti dall’utente tramite mysql real escape, sarebbe altrettanto sicuro quanto usare le istruzioni preparate su mysql?

Previene attacchi SQL injection in un programma Java

Devo aggiungere una dichiarazione al mio programma java per aggiornare una tabella di database: String insert = “INSERT INTO customer(name,address,email) VALUES(‘” + name + “‘,'” + addre + “‘,'” + email + “‘);”; Ho sentito che questo può essere sfruttato tramite un’iniezione SQL come: DROP TABLE customer; Il mio programma ha una GUI Java e […]

Query parametrizzate con condizioni LIKE e IN

Le query parametrizzate in .Net hanno sempre questo aspetto negli esempi: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID = @categoryid “, conn); comm.Parameters.Add(“@categoryid”, SqlDbType.Int); comm.Parameters[“@categoryid”].Value = CategoryID; Ma mi imbatto in un muro di mattoni cercando di fare quanto segue: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID […]

Come impedire a SQL Injection di eseguire il escape delle stringhe

Ho alcune domande (per un database di acccess) come questo: string comando = “SELECT * FROM ANAGRAFICA WHERE E_MAIL='” + user + “‘ AND PASSWORD_AZIENDA='” + password + “‘”; e mi piacerebbe “scappare” utente e password, prevenendo un’iniezione. Come posso farlo con C # e .NET 3.5? Sto cercando qualcosa come mysql_escape_string su PHP …

Prevenzione dell’iniezione SQL in Node.js

È ansible prevenire le iniezioni SQL in Node.js (preferibilmente con un modulo) nello stesso modo in cui PHP aveva istruzioni preparate protette contro di esse. Se é cosi, come? In caso contrario, quali sono alcuni esempi che potrebbero aggirare il codice che ho fornito (vedi sotto). Qualche contesto: Sto creando un’applicazione web con uno stack […]

Evitare l’iniezione SQL senza parametri

Stiamo avendo un’altra discussione qui al lavoro sull’utilizzo di query sql parametrizzate nel nostro codice. Abbiamo due parti in discussione: io e alcuni altri che dicono che dovremmo sempre usare i parametri per salvaguardare le iniezioni di sql e gli altri che non pensano che sia necessario. Invece vogliono sostituire i singoli apostrofi con due […]

CodeIgniter impedisce automaticamente l’iniezione SQL?

Ho appena ereditato un progetto perché l’ultimo sviluppatore è uscito. Il progetto è basato su Code Igniter. Non ho mai lavorato con Code Igniter in precedenza. Ho dato una rapida occhiata al codice e vedo le chiamate al database nel controller in questo modo: $dbResult = $this->db->query(“SELECT * FROM users WHERE username = ‘”.$_POST[‘user_name’].”‘”); o […]