Czy to prawda, że procedury przechowywane zapobiegają atakom typu SQL injection na bazy danych PostgreSQL? Zrobiłem trochę badań i odkryłem, że SQL Server, Oracle i MySQL nie są bezpieczne przed iniekcją SQL, nawet jeśli używamy tylko procedur przechowywanych. Jednak ten problem nie występuje w...
Czy w Postgres przygotowane zapytania i funkcje zdefiniowane przez użytkownika są równoważne jako mechanizm zabezpieczający przed wstrzyknięciem SQL ? Czy są jakieś zalety jednego podejścia względem
Korzystam z MySQL 5.5.21 i próbuję wstawić znak buźki „\ xF0 \ x9F \ x98 \ x8A”. Ale przez całe życie nie mogę wymyślić, jak to zrobić. Według różnych forów, które czytałem, jest to możliwe. Ale ilekroć spróbuję, dane są po prostu obcięte. mysql> INSERT INTO hour ( `title`, `content`, `guid` ,...
Wykonałem następującą procedurę przechowywaną: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Teraz próbowałem zrobić coś takiego....
Słyszałem, że jeden powiedział, że nie chcesz używać dynamicznego SQL. Czy możesz podać konkretny przykład lub przykład z życia? Osobiście koduję go kilka razy w mojej bazie danych. Myślę, że jest OK, ponieważ jest elastyczny. Domyślam się, że chodzi o SQL Injection lub Performance. Coś...
Testuję aplikację opartą na wyroczni i znalazłem następujący kod: Zapytanie = "WYBIERZ imię i nazwisko pracowników, GDZIE id = '" + PKID + "';" tzn. ciąg zapytania zawiera cudzysłowy wokół wartości PKID, która jest uzyskiwana bezpośrednio z adresu URL. Oczywiście jest to klasyczny wstrzyknięcie...
Jaka jest metoda SQL Server bezpiecznego cytowania identyfikatorów do dynamicznego generowania kodu SQL. MySQL ma quote_identifier PostgreSQL ma quote_ident Jak zapewnić otrzymanie dynamicznie generowanej nazwy kolumny dla dynamicznie generowanego oświadczenia, że sama kolumna nie jest...
Patrzyłem dziś na starą procedurę składowaną i zauważyłem, że używała quotenameparametrów wejściowych. Po kilku kopaniach, aby dowiedzieć się, co to dokładnie zrobiłem, natknąłem się na tę stronę . Teraz rozumiem, co robi i jak go używać, ale strona twierdzi, że jest on używany jako środek...