Articles of sql injection

Requêtes paramétrées avec les conditions LIKE et IN

Les requêtes paramétrées dans .Net ressemblent toujours à ceci dans les exemples: SqlCommand comm = new SqlCommand(@” SELECT * FROM Products WHERE Category_ID = @categoryid “, conn); comm.Parameters.Add(“@categoryid”, SqlDbType.Int); comm.Parameters[“@categoryid”].Value = CategoryID; Mais je cours dans un mur de briques en essayant de faire ce qui suit: SqlCommand comm = new SqlCommand(@” SELECT * FROM […]

Quelqu’un peut-il m’expliquer cette attaque par injection SQL?

Je voulais publier ceci ici car il est très lié au codage et c’était quelque chose que je devais nettoyer cette semaine sur l’un des anciens sites ASP (classiques) de mon entreprise. Nous avons été frappés par l’attaque par injection SQL qui a été lancée il y a quelques jours à peine, mais je suis […]

Quand est-il préférable de désinfecter les entrées utilisateur?

L’utilisateur est égal à indigne de confiance. Ne faites jamais confiance aux données douteuses d’un utilisateur. Je comprends ça. Cependant, je me demande quand le meilleur moment pour désinfecter les intrants est. Par exemple, stockez-vous aveuglément les entrées des utilisateurs et désinfectez-les à chaque fois que vous y accédez ou utilisez-les, ou désinfectez-vous immédiatement l’entrée […]

Prévention des attaques CSRF, XSS et SQL dans JSF

J’ai une application web construite sur JSF avec MySQL en tant que DB. J’ai déjà implémenté le code pour empêcher CSRF dans mon application. Maintenant que mon infrastructure sous-jacente est JSF, je suppose que je n’ai pas à gérer les attaques XSS car elles sont déjà gérées par UIComponent . Je n’utilise aucun code JavaScript […]

Comment MongoDB évite-t-il le désordre d’injection SQL?

Je lisais mon fidèle livre O’Reilly et je suis tombé sur un passage sur la manière dont Mongo, par nature, évite le bourbier des failles SQL. Dans mes sortingpes, je pense que je comprends cela. Si des vars non homologués sont passés dans des requêtes, ils ne peuvent pas sortir de la structure de requête […]

Est-ce que CodeIgniter empêche automatiquement l’injection SQL?

Je viens d’hériter d’un projet car le dernier développeur est parti. Le projet est construit à partir de Code Igniter. Je n’ai jamais travaillé avec Code Igniter auparavant. J’ai jeté un coup d’œil au code et je vois les appels de firebase database dans le contrôleur comme ceci: $dbResult = $this->db->query(“SELECT * FROM users WHERE […]

Qu’est-ce que l’injection SQL?

Dupliqués possibles: Comment fonctionne l’injection SQL à partir de la bande dessinée XKCD “Bobby Tables”? https://stackoverflow.com/search?q=sql+injection Quelqu’un peut-il expliquer l’injection SQL? Comment cela cause-t-il des vulnérabilités? Où est exactement le point où SQL est injecté?

Comment un PreparedStatement évite-t-il ou empêche-t-il l’injection SQL?

Je sais que PreparedStatements évite / empêche l’injection SQL. Comment ça fait ça? La requête de formulaire finale construite à l’aide de PreparedStatements sera-t-elle une chaîne ou autre?

Comment les instructions préparées peuvent-elles protéger des attaques par injection SQL?

Comment les instructions préparées nous aident-elles à prévenir les attaques par injection SQL ? Wikipedia dit: Les instructions préparées sont résistantes à l’injection SQL, car les valeurs de parameters transmises ultérieurement via un protocole différent ne doivent pas nécessairement être correctement protégées. Si le modèle d’instruction d’origine n’est pas dérivé d’une entrée externe, une injection […]

Java – Chaîne d’échappement pour empêcher l’injection SQL

J’essaie de mettre en place une injection anti-SQL dans Java et je trouve très difficile de travailler avec la fonction de chaîne “replaceAll”. En fin de compte, j’ai besoin d’une fonction qui convertira tout \ à \\ , tout ” en \” , tout \’ en \’ et tout \n en \\n sorte que lorsque […]