6/27 工作日志 SQL stored procedure里面的SQL injection prevetion

最新推荐文章于 2023-03-17 22:29:42 发布
最新推荐文章于 2023-03-17 22:29:42 发布
阅读量412 收藏
点赞数
分类专栏: 工作生涯 Database 学习笔记 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wcq3692012/article/details/35127893
版权
学习笔记 同时被 3 个专栏收录
40 篇文章 0 订阅
订阅专栏
工作生涯
35 篇文章 0 订阅
订阅专栏
面试
16 篇文章 0 订阅
订阅专栏

今天给error form里面增加了一项comment栏,是个textbox input,先是加了个column,改了改asp code,增加了长度的validation(用onKeyUp属性)。

其他的用的好好的,做test的时候单引号又不行了,我就开始纠结,寻思怎么着stored procedure不应该自动屏蔽么,之前我不用都自动把参数改了,很奇怪,于是和anna讨论了小会,回去自己搜,找到一个答案(http://stackoverflow.com/questions/11682267/sql-server-stored-procedure-single-quotes,看第二个),人家说是你在stored procedure里面用的sql string concatenation不对,应该用quote函数,于是我就搜了下quote函数,是把string两端加上或单引号或双引号或中括号的函数(http://msdn.microsoft.com/en-us/library/ms176114.aspx),默认是中括号。中括号在SQL里面是column的意思,所以又是错,于是改了单引号,用四个''''成功。

之前的code用parameterization用的不对的:

', comments = '' ' + @comments + ' '''

之后的正确的用法:

', comments = ' + quotename(@comments,'''') + ' '

另外就是今天看了五分钟球,俄罗斯翻盘局,被wendy看到了,叫了名字摇了摇头,哎我真是点背,又被抓到了,真他玛的倒霉,我明明看她不在的,啥时候回来的!

我不喜欢蜀国
关注
专栏目录
SQL存储过程(Stored Procedure
weixin_34248258的博客
06-20 1万+
什么是存储过程? 存储过程(procedure)类似于C语言中的函数 用来执行管理任务或应用复杂的业务规则 存储过程可以带参数,也可以返回结果 存储过程可以包含数据操纵语句、变量、逻辑 控制语句等 存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给定参数(如果该...
SQL Server中存储过程Stored Procedure创建及C#调用
tanzhangwen的专栏
02-25 7268
存储过程就是已经编译好的、优化过的放在数据库服务器中的一些SQL语句;可供应用程序直接调用。使用存储过程有以下几个优点: 1、执行速度比普通的SQL语句快 2、便于集中控制 3、可以降低网络的通信量 4、保证数据库的安全性和完整性 5、灵活性创建存储过程 可以采用Transact-SQL语句来创建存储过程Stored Procedured。在Microsoft SQL Server Ma
第十章 SQL命令 CREATE PROCEDURE(一)
yaoxin521123的博客
09-09 7793
文章目录 第十章 SQL命令 CREATE PROCEDURE(一)大纲参数描述参数procnameparameter_list 第十章 SQL命令 CREATE PROCEDURE(一) 创建作为SQL存储过程公开的方法或查询。 大纲 CREATE PROCEDURE procname(parameter_list) [ characteristics ] [ LANGUAGE SQL ] BEGIN code_body ; END CREATE PROCEDURE procn
SQL 存储过程 procedure 讲解+代码实例
热门推荐
白水的博客
04-09 2万+
文章目录1. 存储过程和函数在实际项目中的使用2. 存储过程与函数的比较2.1. 共同点2.2. 不同点3. 存储过程 Stored Procedure3.1. 存储过程概述3.1.1. 存储过程的优点3.1.2. 存储过程的缺点3.2. 创建存储过程 create procedure3.3. 调用存储过程 call3.4. 查看存储过程的定义3.5. 修改存储过程 alter procedure...
Stored procedure & Sql Injection
Dummy's Diary
08-23 615
These days I am working with stored procedure. I found this article is good to remind the stored procedure beginner. Here is the Link of the page. http://palisade.plynt.com/issues/2006Jun/injection-stored-procedures/It is worth pointing out yet another tim
SQL Server高级对象之存储过程(Stored Procedure
一只胖胖胖miao
04-18 1405
一 存储过程的概念 存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中。用户通过指定存储过程的名字并且给出参数来执行它。 二存储过程的优点 (1)允许标准组件式编程 (2)能够实现较快的执行速度 (3)减少网络流量 (4)可作为一种安全机制来充分利用 三 存储过程的类型 (1)用户自定义的存储过程 (2)扩展存储过程 (3...
ORACLE 第 6 章 PL/SQL存储过程
最新发布
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
03-17 3863
在PL/SQL中,可以将最近的隐式游标引用为SQL游标,它始终具有%FOUND,%ISOPEN,%NOTFOUND和%ROWCOUNT等属性。在包中创建的子程序是打包的子程序。如果INSERT,UPDATE或DELETE语句影响一行或多行,或老兄SELECT INTO语句返回一行或多行,则返回TRUE,否则返回FALSE。如果调用一个函数,只需要传递所需的参数和函数名,如果函数返回一个值,那么可以存储返回的值。可以命名一个游标,以便在程序中引用它来获取和处理SQL语句返回的行,一次处理一个(行)。
存储过程(Stored Procedure
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
11-12 1664
存储过程(Stored Procedure)存储过程定义存储过程如何使用在SQL Server中创建存储过程调用存储过程删除存储过程C#中调用存储过程为什么使用存储过程 存储过程定义 摘自百度百科 存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,它存储在数据库中,一次编译后永久有效,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。存储过程是数据库中的一个重要对象。在数据量特别庞大的情况下利用存储过程能达到倍速的效率提升。 可以简
SQL中的PROCEDURE
云灬沙的Blog
03-31 2112
/prəˈsiːdʒər/首先附一下音标,有一个连读 完整版是 Stored Procedure MySQL 5.0 版本开始支持存储过程。 PostgreSQL 11 支持存储过程(SQL Stored Procedures) 存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在...
Oracle PL/SQL从入门到精通 配书教学视频 第11章
03-22
Oracle PL/SQL从入门到精通 配书教学视频 第11章
区别:JDK,JRE,JVM,JIT
wcq3692012的专栏
04-07 3510
JRE:java runtime environment,就是平常电脑没有java要下载的java程序,把我搞死的那个sas就是
String转换DateTime与数据库
wcq3692012的专栏
07-08 2521
首先,Time是一个dimension,不是object不是类,在C
VoLTE, SIP/MSRP
wcq3692012的专栏
03-30 1665
今天庞叔叔转发一个邮件,关于一个Android App开发的岗位,还提到了VoLTE,SIP/MSRP的protocol。虽说不懂,于是就查了一下提高吧。 VoIP是平常的circuit-switched网络(landline,2G,3G)通用的一个网络通话模式,但是到了LTE里,Voice和text是主打,占用了80%的利润,而他们的content格式特别,不好直接用voIP或推到2G3G,于
【考试总结】IP Addres之subnet mask
wcq3692012的专栏
03-28 1534
考了一个computer network的期中考试,搞了半天也没弄明白subnet和基本IP address的,感觉很郁闷,于是花了一个小时好好研究了一下,记录在此。 为啥要用: 一般来说,IP address分为前段network,后端为host number,有三种格式,Class A B C,即使是B或C,里面host容量也挺大的,一个机构如果用不了那么多,那就多花钱不值得。于是就用su
最基本VS的project创建
wcq3692012的专栏
03-18 1013
记得最初学C++ 用的是Visual Studio 6.0, 在那个大机房里,老师在讲台上吆喝着说“大家选择win32 console project”,当时也没管多少。 现在转眼间到VS2013了,本文记一下创建C++ Project的小不同。 用Console,里面自带"stdafx.h" is some header file with important stuff in it per
【面试总结】Google Interview Phone Interview
wcq3692012的专栏
03-26 941
char * ptr; bool move(char ** ptr_old, char ** ptr_target, int number) {  if (ptr_old + number {  for (int i = 0; i   {    * (ptr_target + sizeof(char) * i) = * (ptr_old + sizeof(char) *i);
Oracle PL/SQL 语言口袋参考第四版
6. **性能优化**:提供关于提高PL/SQL代码执行效率的建议,包括索引、批处理和缓存策略。 7. **错误处理和调试**:解释如何识别和处理运行时错误,以及有效的调试技巧。 8. **高级特性**:可能涉及并发控制(如ROW...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值