Articles of sql injection

Query parametrizzate con condizioni LIKE e IN

Le query parametrizzate in .Net hanno sempre questo aspetto negli esempi: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID = @categoryid “, conn); comm.Parameters.Add(“@categoryid”, SqlDbType.Int); comm.Parameters[“@categoryid”].Value = CategoryID; Ma mi imbatto in un muro di mattoni cercando di fare quanto segue: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID […]

Come impedire a SQL Injection di eseguire il escape delle stringhe

Ho alcune domande (per un database di acccess) come questo: string comando = “SELECT * FROM ANAGRAFICA WHERE E_MAIL='” + user + “‘ AND PASSWORD_AZIENDA='” + password + “‘”; e mi piacerebbe “scappare” utente e password, prevenendo un’iniezione. Come posso farlo con C # e .NET 3.5? Sto cercando qualcosa come mysql_escape_string su PHP …

Prevenzione dell’iniezione SQL in Node.js

È ansible prevenire le iniezioni SQL in Node.js (preferibilmente con un modulo) nello stesso modo in cui PHP aveva istruzioni preparate protette contro di esse. Se é cosi, come? In caso contrario, quali sono alcuni esempi che potrebbero aggirare il codice che ho fornito (vedi sotto). Qualche contesto: Sto creando un’applicazione web con uno stack […]

Evitare l’iniezione SQL senza parametri

Stiamo avendo un’altra discussione qui al lavoro sull’utilizzo di query sql parametrizzate nel nostro codice. Abbiamo due parti in discussione: io e alcuni altri che dicono che dovremmo sempre usare i parametri per salvaguardare le iniezioni di sql e gli altri che non pensano che sia necessario. Invece vogliono sostituire i singoli apostrofi con due […]

CodeIgniter impedisce automaticamente l’iniezione SQL?

Ho appena ereditato un progetto perché l’ultimo sviluppatore è uscito. Il progetto è basato su Code Igniter. Non ho mai lavorato con Code Igniter in precedenza. Ho dato una rapida occhiata al codice e vedo le chiamate al database nel controller in questo modo: $dbResult = $this->db->query(“SELECT * FROM users WHERE username = ‘”.$_POST[‘user_name’].”‘”); o […]

Iniezione SQL non web

Sembra esserci un po ‘di isteria sugli attacchi di SQL Injection. Più di recente, qui Come restituire il valore in un campo in base al valore di ricerca in un altro campo Se sto creando una macro in Excel che si connette a un database di Access, devo davvero preoccuparmi dell’iniezione SQL? Non è sul […]

Protezione classica dell’iniezione SQL ASP

Qual è un modo efficace per proteggere da SQL injection per una classica app asp? Cordiali saluti Sto usando con un DB di accesso. (Non ho scritto l’app)

I parametri sono davvero sufficienti per prevenire le iniezioni di Sql?

Ho predicato sia ai miei colleghi che a SO sulla bontà dell’uso dei parametri nelle query SQL, specialmente nelle applicazioni .NET. Sono persino andato così lontano da prometterli come dare l’immunità dagli attacchi SQL injection. Ma sto iniziando a chiedermi se questo è davvero vero. Esistono attacchi di SQL injection noti che avranno esito positivo […]

Posso proteggere da SQL Injection evadendo la citazione singola e l’input dell’utente circostante con virgolette singole?

Mi rendo conto che le interrogazioni SQL parametrizzate sono il modo ottimale per sanitare l’input dell’utente durante la creazione di query che contengono input dell’utente, ma mi chiedo cosa c’è di sbagliato nel prendere input dell’utente e sfuggire alle virgolette singole e circondare l’intera stringa con virgolette singole. Ecco il codice: sSanitizedInput = “‘” & […]

In che modo un PreparedStatement evita o impedisce l’iniezione SQL?

So che PreparedStatements evita / previene SQL Injection. Come lo fa? La query del modulo finale costruita utilizzando PreparedStatements sarà una stringa o altrimenti?