問題タブ [sql-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linq - LINQのExecuteCommandは、SQLインジェクション攻撃からの保護を提供しますか?
挿入を実行するためにLINQのExecuteCommandメソッドを使用する必要がある状況があります。
次のようなもの(この質問の目的のために簡略化されています):
問題は、これがパラメータ化されたクエリと同じようにSQLインジェクションの証拠であるかどうかです。
jakarta-ee - WebSphere の mod_security のような HTTP 入力フィルター?
WebSphere は mod_security のような HTTP 入力フィルター/ファイアウォールを提供しますか?
Apache を WebSphere の HTTP サーバー フロントエンドにすることが可能であることは知っていますが、そのような構成は私の影響力を超えています。私たちは、WebSphere 自体ができることだけを使用して行き詰まっています。
編集 - 明確にするために、ここではセキュリティの認証、承認、または否認防止の側面を探しているわけではありません。WebSphere で動作する mod_security のようなルールベースの HTTP ファイアウォールが必要です。
また、バージョン 1.x では Java で mod_security の部分的な実装があったことも知っています。私たちは現在、似たようなカスタムの社内ソリューションを持っていますが、任意に設定することはできません。ありがとう!
sql-injection - SQL インジェクションを防ぐためにユーザー データの一部をファイルに保存する
私は Web プログラミングは初めてで、Web セキュリティに関連する問題を調査しています。
ユーザーが2種類のデータを投稿できるフォームがあります-それらを「安全」と「安全ではない」と呼びましょう(SQLの観点から)。
ほとんどの場所では、「安全でない」部分をサニタイズした後(「安全」にするために)、データの両方の部分をデータベースに保存することをお勧めします。
「安全な」データをデータベースに保存し、「安全でない」データをファイル(データベースの外部)に保存するという別のアプローチについて疑問に思っています。もちろん、このアプローチでは、ファイルと DB エントリ間の関連付けを維持することに関連する独自の問題が生じます。しかし、特にセキュリティに関連して、このアプローチには他に大きな問題はありますか?
更新: 返信ありがとうございます! 私が何を「安全」と考えているかについて明確でないことをお詫びします。私は Django を使用しており、「安全」と見なしているフォーム データは、必要なすべてのエスケープを行うフォームの「cleaned_data」ディクショナリを通じてアクセスされます。
この質問の目的のために、wiki ページを考えてみましょう。wiki ページのタイトルには、スタイルを付ける必要はありません。したがって、ユーザー入力を「安全な」形式に変換するフォームの「cleaned_data」ディクショナリを介してこれにアクセスできます。しかし、ユーザーがコンテンツを任意にスタイルできるようにしたいので、「cleaned_data」ディクショナリを使用してコンテンツ部分にアクセスできない可能性があります。
ファイル アプローチは、この問題のセキュリティ面を解決しますか? または、私が見落としている他のセキュリティの問題はありますか?
sql-server - SQL インジェクション攻撃の試み - 彼らは何をしようとしているのか?
ここ数週間、多くの SQL インジェクション攻撃を受けている公開 Web サイトがあります。私はパラメーター化されたストアド プロシージャのみを使用しているため、攻撃が成功したことはないと思いますが、最近のログには興味深い手法が示されています。
わかりやすくするために改行を追加
「キャストとEXEC」がやろうとしていることを誰かが明らかにできますか?
php - ユーザー生成の SQL 正規表現での SQL インジェクションの回避
残念ながら、MySQL WHERE 句で使用する正規表現をユーザーが提供する必要があるサイトを作成しています。そしてもちろん、SQL インジェクションを防ぐためにユーザー入力を検証する必要があります。このサイトは PHP で作成されており、次の正規表現を使用して正規表現を確認しています。
これは、PHP の正規表現の処理方法のため、二重にエスケープされています。動作するはずの方法は、エスケープされていない単一引用符なしで、安全な正規表現のみに一致することです。しかし、ほとんど独学なので、これが安全な方法であるかどうかを知りたい.
search - パラメータを使用してLike演算子を使用してSQLクエリでSQLインジェクションを回避しますか?
前任者からいくつかのコードを引き継いで、Like 演算子を使用するクエリを見つけました。
SQL インジェクションの問題を回避してこれをパラメータ化しようとしていますが、これがどのように達成されるかはよくわかりません。助言がありますか ?
注意してください、従来の ADO.NET のソリューションが必要です。このコードを LINQ のようなものに切り替えることはできません。
database - ストアド プロシージャを使用すると、SQL インジェクションの影響を受けませんか?
MySQL データベースについて考えてみましょう (重要な場合)。
sql-server - 動的 SQL にはどのような危険性があり、回避できるのでしょうか?
オフショア開発者が提供する新しいアプリケーションでの複雑な検索クエリの解決策として、次のコードが提供されました。'; を使用して SQL ステートメントを閉じることができるため、動的 SQL の使用には懐疑的です。そして、データベースで実行される厄介なことを実行します!
インジェクション攻撃を修正する方法についてのアイデアはありますか?
testing - SQL インジェクション テストの「弾薬」はありますか?
SQL インジェクションと XSS について読んだとき、これらの脆弱性やその他の脆弱性を識別するために使用できる単一の文字列があるかどうか疑問に思っていました。
そのフィールドが安全かどうかをブラックボックスチェックするために Web サイトデータベースにスローされる可能性のある文字列。(いくつかの社内ツールで大規模なテストを行う予定です)
大まかな例ですが、もっと知っているかどうか疑問に思っていますか?
「a」または「1」=「1」
"center'> < script>alert('test')</ script>"
編集:SOで素敵なXSSの質問が見つかりました