0
我看到了一些類似的問題,沒有關於mysql ...
有沒有辦法做一個SQL注入SP? 我如何在SP級別上進行保護?
換句話說,SP中的查詢結構可以通過傳入參數以任何方式修改嗎?
如果我發送到存儲過程中參數「1; DELETE FROM用戶; - 」 和查詢:是否可以使用存儲過程執行sql注入?
select *
from T
where = @p
A
回答
5
SQL注入是,基本上,增加額外的代碼來查詢。攻擊本身的發生是因爲服務器將輸入數據解析爲SQL代碼並相應地執行它。您無法在SP級別上進行保護,因爲執行到達該過程時,攻擊已經成功。
因此,只要您將查詢構建爲文本,無論查詢文本是什麼,SQL注入都是可能的。如果你不這樣做,或者如果你正確地處理你的輸入,那麼SQL注入不應該成爲一個問題,不管它是SELECT還是別的。
+0
其實這是一個很好的答案。如果在你的存儲過程中,你通過CONCAT()創建來自參數(或其他外部源)的字符串的查詢,那麼這個SP很容易被注入。否則你很安全。 – Mchl
相關問題
- 1. 使用存儲過程是否防止SQL注入/ XSXX攻擊?
- 2. 以下MySql存儲過程是否容易受到sql注入?
- 3. SQL注入存儲過程
- 4. MS SQL Server:檢查用戶是否可以執行存儲過程
- 5. 是否可以執行Insert Into存儲過程?
- 6. 是否可以調用存儲過程?
- 7. 執行SQL存儲過程
- 8. 可能的SQL注入使用存儲過程丟棄表?
- 9. SQL注入是否可以通過類似複選框的輸入來執行?
- 10. 是否可以自動運行存儲過程而不使用sql sever Agent?
- 11. 此存儲過程是否容易受到SQL注入?
- 12. 這個存儲過程是否安全,避免SQL注入?
- 13. 該存儲過程是否安全的從sql注入?
- 14. SQL CLR存儲過程是否阻止注入?
- 15. 使用輸入和輸出參數執行SQL存儲過程
- 16. 在Visual Studio可執行文件中執行SQL存儲過程
- 17. 存儲過程中的SQL注入?
- 18. 是否可以在LINQPad中使用LINQ調用存儲過程?
- 19. 從SQL Server存儲過程執行Oracle存儲過程
- 20. 是否可以使用Hibernate Query調用SQL Server 2008存儲過程?
- 21. 是否可以使用存儲過程作爲參數
- 22. 是否可以在存儲過程中使用「返回」?
- 23. 無法執行我的SQL Server存儲過程使用db.Database.SqlQuery(sql)
- 24. 使用SQL代理在SQL Server 2012中執行存儲過程
- 25. SQL存儲過程執行命令
- 26. 無法執行SQL Server存儲過程
- 27. SQL:存儲過程執行錯誤
- 28. C#&SQL Server:執行存儲過程
- 29. T-SQL動態執行存儲過程
- 30. PHP和SQL Server存儲過程執行
什麼是您的編程媒介?如果你擔心它直接發生,防止sql注入是多餘的。 –
@布里安格雷厄姆 - 我使用PHP,你的意思是最好的方法是通過PDO消毒這個? –
假設用戶界面是一個Web界面,你會在輸入字段上執行html編碼或javascript編碼。如果它是一個桌面應用程序,你可以做類似的事情,我會想象。如果您擔心存儲過程本身的sql注入,那麼這是一個不同的問題。也許編寫一些自定義的正則表達式並在將它們傳遞給sql命令之前通過它們運行變量。 – Brian