英数字だけがクエリに使用されていることを確認したら、SQLインジェクションがなくていいはずですか?SQLインジェクションを避ける
2
A
答えて
6
SQL Injection Prevention CheatSheet
弾丸ポイント:
- 防衛オプション1:すべての開発者が最初にデータベースクエリを作成する方法を教えるべきかプリペアドステートメント(パラメータ化クエリ)
- ...。
- 防衛オプション2:ストアドプロシージャ
- ...安全に実装されています。
- 防衛オプション3:すべてのユーザー供給される入力
- を脱出...虚弱なパラメータ化クエリを使用する場合と比較して。
0
技術的には、これはおそらく正しいでしょう。それは、 - または同様のトリッキーを使ってブロックするからです。最近のほとんどのプラットフォームでは、入力を適切にエスケープし、意図しない方法でデータベースに影響を与えないようにするための、より堅牢な方法があります。
5
それが唯一の英数字で有用なクエリを記述することはかなり困難です。 paramterizedクエリを使用して、ショートカット以外のショートカットを検索しないでください。
関連する問題
- 1. Spring(MVC)SQLインジェクション回避?
- 2. JavaScriptのテキストフィールドにSQLインジェクションを避けるには?
- 3. SQLインジェクションを避けるために、phpでデータをサニタイズする方法は?
- 4. SQLインジェクションを避けるためにexec SQLに代わるものはSP_EXECUTESQLですか?
- 5. SQL ServerのブラインドSQLインジェクションの脆弱性を回避するためのベストプラクティス - ASP.Net
- 6. mysql_real_escape_stringとstripslashesを使用したSQLインジェクションの回避
- 7. preparedStatementはSQLインジェクションを回避しますか?
- 8. MSAccessをSQLインジェクション
- 9. Zend db - SQLインジェクションを避けるためにいつ引用する必要がありますか?
- 10. 永続的なxss/sqlインジェクションを避けながら、dbにHTMLを保存する
- 11. SQLインジェクションを防ぐ
- 12. 停止SQLインジェクション
- 13. SQLインジェクション(java)
- 14. SqlCeResultSetとSQLインジェクション
- 15. SQLインジェクション? CHAR(45,120,49,45,81,45)
- 16. EJB3 SQLインジェクション
- 17. フォームハック/ XSS/SQLインジェクション
- 18. コメントフィールドにSQLインジェクション
- 19. SQLAlchemy + SQLインジェクション
- 20. SQLインジェクションとプリペアドステートメント
- 21. SQL:循環依存を避ける
- 22. SQL insertはカラム名を避ける
- 23. php/mysql Webアプリケーションでprepared statement以外のSQLインジェクションを避けるためのオプションはありますか?
- 24. SQL Server 2012のSQLインジェクション
- 25. SQL照合クエリーのSQLインジェクション
- 26. quote()に対するSQLインジェクション?
- 27. SQLインジェクションによるmysql_query
- 28. プリペアドステートメントによるSQLインジェクション?
- 29. Doctrine2 FindOneByとSQLインジェクション
- 30. PHP AdodbアクティブレコードSQLインジェクション
'()= +'などの必要な文字はどのように使用できますか? – Oded
@oded、コンマや引用符を忘れないでください。 –
多分、彼/彼女は入力フィールドで、クエリ自体ではなく、クエリを実行することを意味しましたか? – Dave