1
我在說Delphi + ADO + MSSQL。 好吧,我知道帶參數的查詢對於SQL注入是非常安全的。另一方面,動態查詢是相當不安全的。 但是經典的FieldByName方法呢?我可以安全地分配給FieldByName一個絕對的任何字符串值,而不冒冒險注射?是FieldByName注入安全嗎?
A
回答
5
它是安全的。 Ado正在使用更新/插入/刪除參數。
您可以使用SQLProfile(例如,
exec sp_executesql N'UPDATE "test".."Activity" SET "data"[email protected] WHERE "InvokeTime"[email protected] AND "data"[email protected]',N'@P1 float,@P2 datetime,@P3 float',1,'2013-04-24 10:46:22.933',0,48607825089780715
exec sp_executesql N'INSERT INTO "test".."Activity" ("InvokeTime","data") VALUES (@P1,@P2)',N'@P1 datetime,@P2 float','2000-01-01 00:00:00',2
exec sp_executesql N'DELETE FROM "test".."Activity" WHERE "InvokeTime"[email protected] AND "data"[email protected]',N'@P1 datetime,@P2 float','2000-01-01 00:00:00',3
相關問題
- 1. SQL注入 - 這是(oneliner)安全嗎?
- 2. SqlCommand.Parameters.AddWithValue注入是否安全?
- 3. 此查詢從sql注入安全嗎?
- 4. .net viewstate從SQL注入安全嗎?
- 5. 多行查詢SQL注入安全嗎?
- 6. 休眠和線程安全:注入的SessionFactory線程安全嗎?
- 7. 這是psycopg2代碼注射安全嗎?
- 8. '安全'DLL注入
- 9. 註冊CancellationToken.None安全嗎?
- 10. rails是從sql注入的Model.new安全嗎?
- 11. 以下請求範圍注入是線程安全的嗎?
- 12. 這是從SQL注入返回DataTable安全的方法嗎?
- 13. SQL注入:這行是否安全?
- 14. 在SQL注入方面是否安全?
- 15. 這是GET安全的SQL注入?
- 16. 我是否從mysql注入安全?
- 17. 是java.nio.file.Files.write(...)安全嗎?
- 18. 是OrderByRaw()安全嗎?
- 19. 是NetNamedPipeBinding安全嗎?
- 20. 是PDO安全嗎?
- 21. jQuery安全注入html
- 22. Spring依賴注入安全
- 23. 我安全的SQL注入?
- 24. 長入字符串 - 是StrToInt()安全嗎?
- 25. 這是sql輸入驗證安全嗎?
- 26. 是TFDTable.AppendRecord注塑安全
- 27. 注射是否安全?
- 28. 是否從HTML注入和XSS完全安全的createTextNode?
- 29. style = attributes內的註釋 - 安全嗎?
- 30. AddWithValue sql注射安全嗎?爲什麼?
雖然從注射的角度來看沒有風險,但是如果讓用戶輸入要更新的字段的名稱,那麼您很快就會破壞數據。 – TLama
'.FieldByName'是一個函數。 「我可以爲函數賦值任何隨機字符串值」是什麼意思?你的意思是使用abitrary參數調用函數,或者給TField對象的屬性賦值(哪個?)函數的返回值是? –
我可能使用了錯誤的表達,對不起。 我的意思是 - 我可以使用SomeDataset.FieldByName('MyField')。AsString:='什麼,甚至包括SQL命令'安全嗎? 正如bummi和TLama所說,我可以。 –