Preguntas etiquetadas con sql-injection

¿Es cierto que los procedimientos almacenados evitan ataques de inyección SQL contra bases de datos PostgreSQL? Investigué un poco y descubrí que SQL Server, Oracle y MySQL no están seguros contra la inyección de SQL, incluso si solo utilizamos procedimientos almacenados. Sin embargo, este problema no existe en PostgreSQL. ¿La …

83 postgresql  security  sql-injection 

En Postgres, ¿las consultas preparadas y las funciones definidas por el usuario son equivalentes como un mecanismo para protegerse contra la inyección de SQL ? ¿Hay ventajas particulares en un enfoque sobre el otro?

30 postgresql  plpgsql  prepared-statement  sql-injection  functions 

Hice el siguiente procedimiento almacenado: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Ahora, intenté hacer algo como esto. Tal vez estoy haciendo esto mal, pero quiero estar seguro de que dicho procedimiento …

18 sql-server  sql-server-2008  dynamic-sql  sql-injection 

Estoy en MySQL 5.5.21 e intento insertar el carácter de carita sonriente '\ xF0 \ x9F \ x98 \ x8A'. Pero por mi vida, no puedo entender cómo hacerlo. De acuerdo con varios foros que he estado leyendo, es posible. Pero cada vez que lo intento, los datos simplemente se …

18 mysql  character-set  sql-injection 

Escuché que uno dijo que no desea utilizar Dynamic SQL. ¿Puedes dar algún ejemplo concreto o un ejemplo de la vida real? Personalmente, lo codifico algunas veces en mi base de datos. Creo que está bien porque es flexibilidad. Mi suposición es acerca de la inyección o el rendimiento de …

13 sql-server  performance  stored-procedures  dynamic-sql  sql-injection 

Estoy probando una aplicación basada en Oracle y encontré el siguiente código: Consulta = "SELECCIONE el nombre DE los empleados DONDE id = '" + PKID + "';" es decir, la cadena de consulta contiene comillas alrededor del valor PKID que se obtiene directamente de la URL. Obviamente, esta es …

12 oracle  sql-injection 

¿Cuál es el método de SQL Server para identificar identificadores de forma segura para la generación dinámica de SQL? MySQL tiene quote_identifier PostgreSQL tiene quote_ident ¿Cómo me aseguro de que, dado un nombre de columna generado dinámicamente para una declaración generada dinámicamente, la columna en sí no sea un ataque …

11 sql-server  security  sql-injection 

Estaba viendo un procedimiento almacenado antiguo hoy y noté que estaba usando quotenamelos parámetros de entrada. Después de investigar un poco para descubrir qué hace exactamente, me encontré con este sitio . Ahora entiendo lo que hace y cómo usarlo, pero el sitio dice que se usa como mitigación de …

9 sql-server-2008  t-sql  sql-injection 

Veo código de desarrolladores que usan conversión de fecha implícita. Me gustaría una respuesta definitiva a por qué no deberían hacer esto. SELECT * from dba_objects WHERE Created >= '06-MAR-2012';

8 oracle  sql-injection