Articles of sql injection

Comment puis-je append une entrée fournie par l’utilisateur à une instruction SQL?

J’essaie de créer une instruction SQL à l’aide de données fournies par l’utilisateur. J’utilise un code similaire à celui-ci en C #: var sql = “INSERT INTO myTable (myField1, myField2) ” + “VALUES (‘” + someVariable + “‘, ‘” + someTextBox.Text + “‘);”; var cmd = new SqlCommand(sql, myDbConnection); cmd.ExecuteNonQuery(); et ceci dans VB.NET: Dim […]

Outils de test de pénétration

Nous avons des centaines de sites Web développés en asp, .net et java et nous payons beaucoup d’argent pour qu’une agence externe effectue des tests de pénétration pour nos sites afin de vérifier les failles de sécurité. Existe-t-il un (bon) logiciel (payant ou gratuit) pour cela? ou .. existe-t-il des articles techniques qui peuvent m’aider […]

Requêtes paramétrées avec les conditions LIKE et IN

Les requêtes paramétrées dans .Net ressemblent toujours à ceci dans les exemples: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID = @categoryid “, conn); comm.Parameters.Add(“@categoryid”, SqlDbType.Int); comm.Parameters[“@categoryid”].Value = CategoryID; Mais je cours dans un mur de briques en essayant de faire ce qui suit: SqlCommand comm = new SqlCommand(@” SELECT * FROM […]

Quelqu’un peut-il m’expliquer cette attaque par injection SQL?

Je voulais publier ceci ici car il est très lié au codage et c’était quelque chose que je devais nettoyer cette semaine sur l’un des anciens sites ASP (classiques) de mon entreprise. Nous avons été frappés par l’attaque par injection SQL qui a été lancée il y a quelques jours à peine, mais je suis […]

Quand est-il préférable de désinfecter les entrées utilisateur?

L’utilisateur est égal à indigne de confiance. Ne faites jamais confiance aux données douteuses d’un utilisateur. Je comprends ça. Cependant, je me demande quand le meilleur moment pour désinfecter les intrants est. Par exemple, stockez-vous aveuglément les entrées des utilisateurs et désinfectez-les à chaque fois que vous y accédez ou utilisez-les, ou désinfectez-vous immédiatement l’entrée […]

Prévention des attaques CSRF, XSS et SQL dans JSF

J’ai une application web construite sur JSF avec MySQL en tant que DB. J’ai déjà implémenté le code pour empêcher CSRF dans mon application. Maintenant que mon infrastructure sous-jacente est JSF, je suppose que je n’ai pas à gérer les attaques XSS car elles sont déjà gérées par UIComponent . Je n’utilise aucun code JavaScript […]

Comment MongoDB évite-t-il le désordre d’injection SQL?

Je lisais mon fidèle livre O’Reilly et je suis tombé sur un passage sur la manière dont Mongo, par nature, évite le bourbier des failles SQL. Dans mes sortingpes, je pense que je comprends cela. Si des vars non homologués sont passés dans des requêtes, ils ne peuvent pas sortir de la structure de requête […]

Est-ce que CodeIgniter empêche automatiquement l’injection SQL?

Je viens d’hériter d’un projet car le dernier développeur est parti. Le projet est construit à partir de Code Igniter. Je n’ai jamais travaillé avec Code Igniter auparavant. J’ai jeté un coup d’œil au code et je vois les appels de firebase database dans le contrôleur comme ceci: $dbResult = $this->db->query(“SELECT * FROM users WHERE […]

Qu’est-ce que l’injection SQL?

Dupliqués possibles: Comment fonctionne l’injection SQL à partir de la bande dessinée XKCD “Bobby Tables”? https://stackoverflow.com/search?q=sql+injection Quelqu’un peut-il expliquer l’injection SQL? Comment cela cause-t-il des vulnérabilités? Où est exactement le point où SQL est injecté?

Comment un PreparedStatement évite-t-il ou empêche-t-il l’injection SQL?

Je sais que PreparedStatements évite / empêche l’injection SQL. Comment ça fait ça? La requête de formulaire finale construite à l’aide de PreparedStatements sera-t-elle une chaîne ou autre?