不要相信使用Parameter安全调用分页存贮过程会没有SQL注入

最新推荐文章于 2023-09-22 15:41:23 发布
最新推荐文章于 2023-09-22 15:41:23 发布
阅读量121 收藏 1
点赞数
原文链接:http://www.cnblogs.com/livexy/archive/2010/07/09/1774636.html
版权

不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:

 

如:

 

 
  
 
       DbParameter[] dbParams  
   = 
    {
 Data.MakeInParam( 
   " 
   @PageIndex 
   " 
   , (DbType)SqlDbType.Int,  
   4 
   , pageIndex),
 Data.MakeInParam( 
   " 
   @PageSize 
   " 
   , (DbType)SqlDbType.Int,  
   4 
   , pageSize),
 Data.MakeInParam( 
   " 
   @Tables 
   " 
   , (DbType)SqlDbType.NVarChar,  
   1000 
   , tableName),
 Data.MakeInParam( 
   " 
   @Fields 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   , fieldList),
 Data.MakeInParam( 
   " 
   @Where 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   ,  
   where 
   ),
 Data.MakeInParam( 
   " 
   @GroupBy 
   " 
   , (DbType)SqlDbType.NVarChar,  
   2000 
   , groupBy),
 Data.MakeInParam( 
   " 
   @OrderBy 
   " 
   , (DbType)SqlDbType.NVarChar,  
   1000 
   , orderBy),
 Data.MakeOutParam( 
   " 
   @ReturnCount 
   " 
   , (DbType)SqlDbType.Int, totalRecords),
 };
 list  
   = 
    Data.GetDbDataReader( 
   " 
   getPagerROWOVER 
   " 
   , dbParams).ToList 
   < 
   TResult 
   > 
   ();

 
  
 
 
 
 
 
 
 
 
 
 
 
 
 
这种调用也存在SQL注入.
 
 
 
 
 
我想查询News表中Title存在"博客园"的文章:
 
 
PageIndex = 1
 
 
PageSize = 20
 
 
Tables = "News"
 
 
Fields = "*"
 
 
Where = "Title like '%博客园%'"
 
 
GroupBy = ""
 
 
OrderBy = "NewsID Desc"
 
 
这种写法是正确的。
 
 
当用户输入“''%' or 1=1;--” 一样存在SQL注入。
 
 
 
 
 
当拼接Where值的时候取到文本框的值一定也要过滤非法字符。
 
 
SQL会自动组合成:
 
 
select * from News where Title like '%博客园%' 正确
 
 
select * from News where Title like '''%''''''%''' or 1=1;--%'' 存在注入
 
 
 
 
 
 

 

转载于:https://www.cnblogs.com/livexy/archive/2010/07/09/1774636.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30797199
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
asp.net中如何调用sql存储过程实现分页

				
			

			

				

					10-23
				

			

		

		

			
				
在ASP.NET中调用SQL存储过程实现分页是一种常见的数据处理技术,这有助于提高网站的性能,因为它减少了从数据库检索大量数据的需求。以下是一个详细的步骤和示例代码,解释了如何在ASP.NET中进行此操作。  1. **创建...

			
		

	



                

              
                



	

		

			

				
					
sqlserver 存储过程分页代码第1/2页

				
			

			

				

					09-11
				

			

		

		

			
				
在SQL Server中,存储过程是预编译的SQL语句集合,可以提高数据库操作的效率和安全性。在处理大量数据时,分页查询是必不可少的,它可以有效地展示数据,而不一次性加载所有记录,减轻服务器负载。本篇将介绍如何...

			
		

	



                


  
              

                


	

		

			

				
					
防止SQL注入攻击的10种有效方法

				
			

			

				

					qq_28245087的博客
				

				

					06-29
					
					4万+
					
				

			

		

		

			
				
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。

			
		

	





	

		

			

				
					
怎么防止SQL注入

				
			

			

				

					。。。。
				

				

					03-21
					
					6998
					
				

			

		

		

			
				
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。

使用预编译语句的好处是,它将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。

			
		

	



		

			
		



	

		

			

				
					
如何防止sql恶意注入

				
			

			

				

					m0_72345017的博客
				

				

					09-13
					
					1229
					
				

			

		

		

			
				
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入

			
		

	





	

		

			

				
					
防止SQL注入的四种方案

				
			

			

				

					dehuisun的专栏
				

				

					09-05
					
					9573
					
				

			

		

		

			
				
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or  1 = 1此时,数据库的数据都被清空掉,后果非常严重.

			
		

	





	

		

			

				
					
禁止使用动态SQL语句实现的方法

				
			

			

				

					2301_76418831的博客
				

				

					04-14
					
					272
					
				

			

		

		

			
				
在上面的例子中,我们使用PDO预处理语句的方式来执行SQL查询操作。使用PDO预处理语句。PDO是PHP中的一种数据库访问技术,可以使用预处理语句的方式来避免使用动态SQL语句。在Magento中,可以通过使用Zend_Db_Adapter_Pdo_Mysql类来访问数据库,然后使用PDO预处理语句的方式来执行SQL语句。总的来说,禁止使用动态SQL语句是一种有效的防范SQL注入攻击的方式,可以通过使用Magento提供的数据操作接口或者使用PDO预处理语句的方式来实现。

			
		

	





	

		

			

				
					
sqlserver 存储过程分页(按多条件排序)

				
			

			

				

					09-11
				

			

		

		

			
				
`getPage`方法接收四个输入参数,用于获取总页数(`totalPage`)、总记录数(`rowsCount`)、每页记录数和当前页数,然后创建并填充`SqlParameter`数组,将这些参数传递给存储过程。最后,存储过程的输出参数被用来获取...

			
		

	





	

		

			

				
					
c#调用分页存储过程

				
			

			

				

					01-13
				

			

		

		

			
				
"C#调用分页存储过程"是一个常见的技术实践,它结合了C#编程语言和SQL Server的存储过程来高效地获取数据库中的分页数据。这种方法可以有效地减少网络传输的数据量,提高用户界面的响应速度,尤其是在数据量达到百万...

			
		

	





	

		

			

				
					
SQL 拼接字符串

					
热门推荐

				
			

			

				

					Ruishine的博客
				

				

					07-12
					
					6万+
					
				

			

		

		

			
				
不同的数据库,相应的字符串拼接方式不同,下面进行详细讲解。
一、MySQL字符串拼接
1、CONCAT函数
语法格式:CONCAT(char c1, char c2, …, char cn) ,其中char代表字符串,定长与不定长均可以
连接两个字符串
select concat(ename,sal) from emp;

连接多个字符串
select concat(ename,':',sal) from emp;

2、"+"操作符
连接两个字符串
select ename+sal from emp;
.

			
		

	





	

		

			

				
					
SQL字符串拼接

				
			

			

				

					ddwangbin520的博客
				

				

					05-30
					
					5158
					
				

			

		

		

			
				
SELECT CONCAT('候选人:', lastname,firstname, ' 学科:',subject,' 学历:', qualification) AS 简历 FROM kalacloud_student ORDER BY qualification DESC;

			
		

	





	

		

			

				
					
MyBatis怎么防止sql注入

					
最新发布

				
			

			

				

					m0_62381101的博客
				

				

					09-22
					
					4163
					
				

			

		

		

			
				
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。

			
		

	





	

		

			

				
					
SQL 字段拼接成新字段的方法详解

				
			

			

				

					pleaseprintf的博客
				

				

					07-03
					
					1万+
					
				

			

		

		

			
				
在数据库查询和数据处理中,有时我们需要将表中的多个字段进行拼接,以生成新的字段。本文将介绍如何使用 SQL 查询语句来实现字段拼接,并将其结果作为新的字段返回,帮助你灵活处理和展示数据。在 SQL 查询中,我们可以使用不同的方法将多个字段拼接成新的字段。通过本文的介绍,你了解了在 SQL 查询中将多个字段拼接成新的字段的方法。你学习了使用字符串连接操作符、字符串连接函数、字符串拼接函数和字符串加法运算符来实现字段拼接。这些方法可以根据你的具体需求和数据库系统的支持进行选择,帮助你更灵活地处理和展示数据。

			
		

	





	

		

			

				
					
正则校验windows和linux路径

				
			

			

				

					weixin_43173924的博客
				

				

					09-07
					
					1002
					
				

			

		

		

			
				
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/;
let lnxPath = /^\/(\w+\/?)+$/i;
if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){
  //校验不通过
}else{
  //校验通过
}


...

			
		

	





	

		

			

				
					
Sql语言如何拼接数据?

				
			

			

				

					百卷
				

				

					09-10
					
					6万+
					
				

			

		

		

			
				
   在sql语言中对数据进行适当的操作,能够有效地减少查询出数据之后业务逻辑的代码量,因此本篇博文将介绍sql语言中的拼接数据的功能。

   本文将介绍拼接字段、拼接列,以及在一定的限制下拼接同一字段中不同列数据的功能。Mysql和Sql Server在这项功能中各有不同,因此分开介绍。

   以下图中的表格为例:



Sql Server

   1.符号 +


select Scor...

			
		

	





	

		

			

				
					
SQL 字符串拼接

				
			

			

				

					HEshenghuxi的博客
				

				

					12-19
					
					5448
					
				

			

		

		

			
				



Sql Server



一、拼接多个字段的值
select Convert(nvarchar(50),id)+’-’+name+’-’+sex as montage from test
二、一个字段多条记录的拼接
select stuff((select ‘-’+name from test for xml path (’’)),1,1,’’) as montage
①stuff:
1、...

			
		

	





	

		

			

				
					
sql字符串拼接

				
			

			

				

					qq_34083182的博客
				

				

					02-23
					
					6329
					
				

			

		

		

			
				
1. 概述在SQL语句中经常需要进行字符串拼接,以sqlserver,oracle,mysql三种数据库为例,因为这三种数据库具有代表性。sqlserver:select '123'+'456';
oracle:select '123'||'456' from dual;
或
select concat('123','456') from dual;
mysql:select concat('12...

			
		

	





	

		

			

				
					
Oracle存储过程详解:语法、实例与调用指南

				
			

			

				

					
				

			

		

		

			
				
 - 高效分页查询示例展示了如何使用存储过程进行分页操作,这对于大规模数据检索非常实用。  Oracle存储过程是数据库开发中的重要工具,掌握其语法、调用方式和适用场景有助于优化数据库性能和应用程序设计。理解并...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值