Articles of sql injection

Rieles 3 orden activerecord – ¿cuál es la inyección de SQL adecuada alrededor?

digamos que tengo una página de lista de usuarios y puede ordenar por las diferentes columnas, al hacer clic en ‘correo electrónico’ pasará sort_by = email sort_direction = asc o desc sort_by = “email” # really params[:sort_by] sort_direction = “asc” # really params[:sort_direction] User.order(“#{sort_by} #{sort_direction}”) # SELECT “users”.* FROM “users” ORDER BY email asc para […]

SQL Server – Tabla Dynamic PIVOT – Inyección SQL

Perdón por la larga pregunta, pero contiene todos los SQL que he usado para probar el escenario y espero que aclare lo que estoy haciendo. Estoy desarrollando algunos SQL dynamics para producir una tabla PIVOT en SQL Server 2005. A continuación está el código para hacer esto. Con varias selecciones que muestran los datos sin […]

¿Las consultas dinámicas de mysql con sql escapan son tan seguras como las declaraciones preparadas?

Tengo una aplicación que se beneficiaría enormemente al usar consultas dinámicas de mysql en combinación con mysql (mysqli) cadena de escape real. Si ejecutara todos los datos recibidos del usuario a través de mysql escape real, ¿sería tan seguro como usar las declaraciones preparadas de mysql?

Cómo evitar que una inyección SQL escape cadenas

Tengo algunas consultas (a una base de datos de acceso) como esta: string comando = “SELECT * FROM ANAGRAFICA WHERE E_MAIL='” + user + “‘ AND PASSWORD_AZIENDA='” + password + “‘”; y me gustaría “escapar” del usuario y la contraseña, evitando una inyección. ¿Cómo puedo hacerlo con C # y .NET 3.5? Estoy buscando cosas […]

Evitar la inyección de SQL sin parámetros

Estamos teniendo otra discusión aquí en el trabajo sobre el uso de consultas SQL parametrizadas en nuestro código. Tenemos dos lados en la discusión: Yo y algunos otros que dicen que siempre debemos usar parámetros para protegernos contra las inyecciones de sql y los otros tipos que no creen que sea necesario. En su lugar, […]

¿CodeIgniter previene automáticamente la inyección de SQL?

Acabo de heredar un proyecto porque se fue el último desarrollador. El proyecto está basado en Code Igniter. Nunca he trabajado con Code Igniter antes. Eché un vistazo rápido al código y veo las llamadas a la base de datos en el controlador de esta manera: $dbResult = $this->db->query(“SELECT * FROM users WHERE username = […]

Protección de inyección de ASP SQL clásica

¿Cuál es una forma sólida de protegerse contra la inyección sql para una aplicación ASP clásica? FYI lo estoy usando con un DB de acceso. (No escribí la aplicación)

Prevención de ataques de inyección CSRF, XSS y SQL en JSF

Tengo una aplicación web construida en JSF con MySQL como DB. Ya implementé el código para evitar CSRF en mi aplicación. Ahora que mi framework subyacente es JSF, creo que no tengo que manejar el ataque XSS ya que UIComponent maneja. No estoy usando ningún JavaScript en ninguna de las páginas de vista. Incluso si […]

¿Cómo funciona la inyección SQL del cómic XKCD “Bobby Tables”?

Solo mirando: (Fuente: https://xkcd.com/327/ ) ¿Qué hace este SQL? Robert’); DROP TABLE STUDENTS; — Sé que ambos ‘ y — son para comentarios, pero ¿no se comenta la palabra DROP también porque es parte de la misma línea?

¿Cómo puedo prevenir la inyección SQL en PHP?

Si la entrada del usuario se inserta sin modificación en una consulta SQL, entonces la aplicación se vuelve vulnerable a la inyección SQL , como en el siguiente ejemplo: $unsafe_variable = $_POST[‘user_input’]; mysql_query(“INSERT INTO `table` (`column`) VALUES (‘$unsafe_variable’)”); Eso es porque el usuario puede ingresar algo como value’); DROP TABLE table;– value’); DROP TABLE table;– […]