反恐精英之动态SQL和SQL注入-SQL注入-防卫SQL注入-验证检查

最新推荐文章于 2023-03-29 16:28:56 发布
最新推荐文章于 2023-03-29 16:28:56 发布
阅读量131 收藏
点赞数

通常应用程序应该验证用户的输入,以确保输入的内容是所希望的。

例,如果用户为delete语句传入部门编号,可以从departments表中做查询来验证输入的部门编号;

如果用户输入删除的表名,则可以查询all_tables来验证表名的存在。

在有效性检查代码中,DBMS_ASSERT包中的子程序是有用的。

可以使用DBMS_ASSERT.ENQUOTE函数来将字符串字面量使用引号括起来。这可以阻止恶意用户在开始和结束引号间注入文本。

-- 11g12_07_13.prc

CREATE OR REPLACE PROCEDURE raise_emp_salary (column_value  NUMBER, emp_column VARCHAR2, amount NUMBER)

IS

    v_column  VARCHAR2(30);

    sql_stmt  VARCHAR2(200);

BEGIN

    -- 检测输入的列名有效性

    SELECT column_name INTO v_column FROM USER_TAB_COLS

    WHERE TABLE_NAME = 'EMPLOYEES' AND COLUMN_NAME = emp_column;

    sql_stmt := 'UPDATE employees SET salary = salary + :b1 WHERE '

    || DBMS_ASSERT.ENQUOTE_NAME(v_column, FALSE) || ' = :b2';

    EXECUTE IMMEDIATE sql_stmt USING amount, column_value;

    -- 如果列名有效

    IF SQL%ROWCOUNT > 0 THEN

        DBMS_OUTPUT.PUT_LINE('更新列: ' || emp_column || ' = ' || column_value || '的员工薪水');

    END IF;

    -- 如果列名无效

    EXCEPTION

        WHEN NO_DATA_FOUND THEN

            DBMS_OUTPUT.PUT_LINE ('无效列: ' || emp_column);

END raise_emp_salary;

--11g12_07_13.tst

--测试前先查看相关的数据

SELECT employee_id, department_id, salary FROM employees

WHERE employee_id = 112 OR department_id = 110;

DECLARE

    plsql_block  VARCHAR2(500);

BEGIN

  -- 从动态SQL块调用

    plsql_block :=

        'BEGIN raise_emp_salary(:cvalue, :cname, :amt); END;';

    EXECUTE IMMEDIATE plsql_block USING 110, 'DEPARTMENT_ID', 10;

  -- 从动态SQL语句调用

  --EXECUTE IMMEDIATE 'BEGIN raise_emp_salary(:cvalue, :cname, :amt); END;'

  --USING 112, 'EMPLOYEE_ID', 10;

END;

1次执行:

2次执行

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/17013648/viewspace-1082050/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/17013648/viewspace-1082050/

cmff98425
关注
PLSQL developer破解版-sql注入
徐长亮的专栏
12-09 2823
执行plsqldev906.exe开始安装为例 解压之后: 执行plsqldev906.exe开始安装。安装目录为:%ORACLE_BASE%\plsqldev,和oracle 11g安装到同一个基目录下面 在安装目录C:\software\Oracle\plsqldev中找到AfterConnect.sql和login.sql 发现: 发现AfterCo
PL/SQL的SQL注入
小笋的技术随笔
02-22 381
SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。 其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。   例如有这样一个procedure,功能为禁用某个table的constraint: CRE...
sql注入的方法
qq_36031634的博客
09-06 3079
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
sql注入
weixin_42875773的博客
05-19 635
文章目录一、什么是sql注入?二、思路1.找寻注入点2.判断是否存在注入3.判断字段数4.查找显错位总结 一、什么是sql注入sql注入原理:sql注入就是把用户的输入当作sql代码去执行,攻击者可以假设场景利用数据库的一些特性进行攻击。 二、思路 1.找寻注入点 url header 表单提交 2.判断是否存在注入 代码如下(示例): 4. and 1=1 5. and 1=2 6. 使用运算符 7. sleep 3.判断字段数 order by 4.查找显错位 联合查询 uni
反恐精英动态SQLSQL注入-SQL注入-防卫SQL注入-绑定变量
cmff98425的博客
02-16 128
如果在PL/SQL中使用动态SQL,你必须检查输入的文本以确保是你所期望的。 可以使用下面的技术: n 绑定变量 SQL注入攻击的最有效的方法是使用绑定变量。数据库只是使用它...
sql注入
wangdaxu332的专栏
03-26 3770
常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOS限于篇幅,本篇只讨论SQL注入攻击的技巧与范。SQL注入常见攻击技巧SQL注入攻击是Web安全史上的一个重要里程碑,它从1999年首次进入人们的视线,至今已经有十几年的历史了,虽然我们现在已经...
CSGO-清晰度:简化了反恐精英:全球攻势的聊天文本和好友列表状态
02-04
在《反恐精英:全球攻势》(Counter-Strike: Global Offensive,简称CSGO)这款备受玩家喜爱的第一人称射击游戏中,玩家间的交流和团队协作至关重要。为了提供更好的游戏体验,开发者不断对游戏进行优化,其中“清晰...
Ultimate-Counter-Strike-Movie-Collection:世界上最大的反恐精英电影收藏
03-21
这是和在2006-2012年间ho积的《反恐精英》电影的合集。没有CS:来源或CS:GO,只有1.6及以下。大多数电影都是原始质量的,有些在其他任何地方都找不到。 下载 当前有两种下载电影的方法: 使用洪流。为此,请或复制...
node-csgo-gsi::water_pistol:零依赖反恐精英
04-28
反恐精英:node.js的全球进攻性。 用法 将gamestate_integration_node.cfg安装到CS:GO cfg目录中。 示例: C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo\cfg\gamestate_...
行业分类-设备装置-基于反恐一体机的反恐应急指挥平台和方法.zip
09-08
《基于反恐一体机的反恐应急指挥平台和方法》 在当今社会,安全与反恐已经成为国家和社会稳定的重要组成部分。随着科技的发展,反恐应急指挥系统已经从传统的手动模式转变为智能化、一体化的解决方案。本文件主要...
sql注入SQL注入
07-06
SQL注入,详细讲解如何进行sql注入和如何sql注入,非常实用,推荐给大家,希望大家喜欢
Kitten-for-CSGO:在《反恐精英》中使用自己的配乐
05-02
从本质上讲,这使您可以创建和使用自己的音乐包。 入门 在下载最新的稳定版本。 要从源代码运行Music Kitten,您需要节点。 如果您以前从未配置过节点,建议在Linux和Mac OS上使用 ,使用 。 准备好节点和npm后,...
PLSQL Language Referenc-PL/SQL动态SQL-SQL注入-SQL注入技术-语句修改
cmff98425的博客
03-28 123
SQL注入 SQL注入是在SQL语句中对使用客户端提供数据的应用程序的一种恶意的探测, 目的是获取对数据库的非授权的访问来查看或操纵限制的数据。 ...
oracle pl sql 漏洞,Oracle数据库安全:PL/SQL的SQL注入
weixin_36231529的博客
04-13 281
SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。例如有这样一个procedure,功能为禁用某个table的constraint:CREATEORRE...
B-4:SQL注入测试(PL)
最新发布
qq_61988806的博客
03-29 321
任务环境说明:  服务器场景:Server12  服务器场景操作系统:未知(关闭链接)
金仓数据库 KingbaseES PL/SQL 过程语言参考手册(8. PL/SQL动态SQL
arthemis_14的博客
08-18 990
动态 SQL 是一种用于在运行时生成和运行 SQL 语句的编程方法。在编写诸如临时查询系统之类的通用且灵活的程序时,在编写必须运行数据库定义语言 (DDL) 语句的程序时,或者当您在编译时不知道SQL语句的全文或编号或其输入和输出变量的数据类型时,它很有用。PL/SQL 提供了两种编写动态 SQL 的方法: - Native dynamic SQL,一种 PL/SQL 语言(即本机)的功能,用于构建和运行动态 SQL 语句 - DBMS_SQL包,用于构建、运行和描述动态 SQL 语句的 API。...
PLSQL最佳实践
wo2han123456的博客
08-18 319
存在性检查 --正确姿势: SELECT COUNT(*) FROM dual WHERE EXISTS (SELECT 1 FROM yxxc_gzb); --不正确姿势: SELECT COUNT(*) FROM yxxc_gzb; 提 DDL 提交事务 DDL 语句的第一步就是 COMMIT,然后才是执行 DDL 本身,无任命令是否执行成功, 都已经提交。所以不要在事务中使用 DDL 语句 减少对 sysdate 的调用 sysdate 函数在经常会被使用,但它是函数,一定
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6606
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Oracle SQL 注入
prahs的专栏
07-14 8917
Oracle SQL 注入本文主要总结在Oracle注入中的步骤方法和注意事项: 参考了:http://www.freebuf.com/articles/web/5411.html 注入常用语句 常用步骤 注意事项 常用步骤1 找注入点 用单引号’之类的触发报错 用or 1=1, or 1=2之类的观察反馈 2 判断数据库类型 oracle 支持– 类型注释,但是不支持;分隔执行多语句,orac
C-TPAT反恐安全手册:全面指南与实施要点
C-TPAT Security Handbook, or C-TPAT反恐手册,是一部专为中国市场设计的中文版指南,旨在帮助企业和供应链参与者遵循美国海关与边境保护署(Customs and Border Protection, CBP)制定的C-TPAT (Critical Trade ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值