0
私は、SQLインジェクションが、パラメタライズされたSQLを使用して、日々の通常のウェブサイトにまだ潜在的な脅威であるかどうか疑問に思いました。 (ASP.NET - '@ 0')。SQLインジェクションは依然として脅威ですか?
これが依然として脅威である場合、クラッカーはこれらのパラメータをどのように上書きまたは回避しますか?
A
答えて
5
OWASPによると、それは(ASP.NETが出てきた長い後)まだ2013年にトップの脅威だった:https://www.owasp.org/index.php/Top_10_2013-A1-Injection
パラメータ化されたSQLは、SQLインジェクションを心配する必要は削除されません。私は以前の開発者がパラメータとして文字列を取得し、その文字列を含むいくつかの動的SQLを作成し、それを実行するストアドプロシージャを作成した会社で働いていました。彼らはパラメータ化されているので安全だと主張していましたが、SQLコードをストアドプロシージャに渡して実行できることを示すことができました。
また、パラメータをサポートする言語を使用しているため、SQLインジェクションから安全であると主張しても、毎回パラメータを使用しているわけではありません。あなたのデータベースにコードを挿入できるのは、誰かのために1つだけです。
4
はい、SQLインジェクションは依然として脅威です。これらのタイプのものには常に新しい脆弱性が存在します。
注射が依然として脅威と考えられる理由はいくつかあります。
- これは簡単な攻撃です。他の人が攻撃するために多くのコンピュータを使用する場合は、1台のコンピュータしか必要ありません。
- プログラミングが悪いと、プログラミングが悪いと簡単に脆弱になることがあります。攻撃者が脆弱性を見つけるのを困難にするためには、できるだけデータベースを安全にする必要があります。
- ユーザーの入力を信頼していることがあります。ユーザーの入力を信頼することもあります。
これはほんのわずかです。ただし、SQLデータベースを使用する場合は覚えておいてください。一般の人々がプロジェクトを使用する前に、プロジェクトの脆弱性を考慮してください。
関連する問題
- 1. SQLインジェクションの脅威ですか?
- 2. ハイバーネーションとセキュリティの脅威
- 3. Xcode:脅威1:Sigabrtエラー
- 4. SQLインジェクションの脅威を防ぐために、文字列 " - "と ";"をブロックしました。それでも安全かどうかは分かりません。
- 5. 同じ発信元ポリシーの脅威モデルは何ですか?
- 6. solrは自動脅威の末尾のスペースを理解していますか?
- 7. psでの脅威スレッド(cで書かれたスレッドプログラムの場合)
- 8. AVGでは、私のプログラムは高度なセキュリティ上の脅威として報告されていますか?
- 9. RSA-ブラインドメッセージスキームは依然として脆弱ですか?
- 10. z3_dbg.dllは依然としてディストリビューションの一部ですか?
- 11. Javaデスクトップアプリケーションを更新するセキュリティ上の脅威
- 12. XBAPディープリンク。セキュリティ上の脅威の可能性はありますか?
- 13. JSON - $ .GETJSONは依然として依頼しているようです
- 14. 基本的なWebサーバーを見たときに最初に遭遇する脅威は何ですか?
- 15. ConfigureAwait(false)は依然としてデッドロックです
- 16. TabBarは依然としてクリック可能です
- 17. Vert.xは、パフォーマンスがはるかに優れているため、Node.jsのユーザーベースに脅威を与えますか?
- 18. SqlCeResultSetとSQLインジェクション
- 19. SQLインジェクションとプリペアドステートメント
- 20. parsley.js v2.3.7はwindow.Parsley.addValidatorは依然としてカスタムバリデータの正しい構文ですか?
- 21. BackgroundWorker.ProgressChangedとRunWorkerCompletedhandlerは依然として呼び出しを行いますか?
- 22. クロスフレームインジェクションやその他の依存関係管理の脅威からPlay Frameworkを保護するにはどうすればよいですか?
- 23. Doctrine2 FindOneByとSQLインジェクション
- 24. Like句とSQLインジェクション
- 25. SQLインジェクションとWebログファイル
- 26. ペンテストブラインドSQLインジェクションとビューステートエラー
- 27. Railsは依然として書き込みをしたい
- 28. リポジトリは依然として作業ユニットのないリポジトリですか?
- 29. NhibernateはSQLインジェクションに対して脆弱ですか?
- 30. NOLOCKは依然としてWITHキーワードを必要としませんか?
私は、パラメータ化を適切に使うことで、効果的にSQLインジェクションの脅威を効果的に排除することができます。ハッカーは何かをパラアタライズすることはできません。 あなたが記述した状況は、プログラマーがあらかじめコンパイルされたクエリの利点を多かれ少なかれ除去したという点で非常に特有です。有効ですが、おそらくOPが尋ねていたものではありません。興味深いもの: – user2752635
だから、SQLインジェクションはもっとスリップアップに基づいていますか?答えをありがとう: –
@ user2752635文字列の内容がコードとして誤解される可能性がありますが、どうすればそれを避けることができますか? –