0
我看到了一些类似的问题,没有关于mysql ...
有没有办法做一个SQL注入SP? 我如何在SP级别上进行保护?
换句话说,SP中的查询结构可以通过传入参数以任何方式修改吗?
如果我发送到存储过程中参数“1; DELETE FROM用户; - ” 和查询:是否可以使用存储过程执行sql注入?
select *
from T
where = @p
A
回答
5
SQL注入是,基本上,增加额外的代码来查询。攻击本身的发生是因为服务器将输入数据解析为SQL代码并相应地执行它。您无法在SP级别上进行保护,因为执行到达该过程时,攻击已经成功。
因此,只要您将查询构建为文本,无论查询文本是什么,SQL注入都是可能的。如果你不这样做,或者如果你正确地处理你的输入,那么SQL注入不应该成为一个问题,不管它是SELECT还是别的。
+0
其实这是一个很好的答案。如果在你的存储过程中,你通过CONCAT()创建来自参数(或其他外部源)的字符串的查询,那么这个SP很容易被注入。否则你很安全。 – Mchl
相关问题
- 1. 使用存储过程是否防止SQL注入/ XSXX攻击?
- 2. 以下MySql存储过程是否容易受到sql注入?
- 3. SQL注入存储过程
- 4. MS SQL Server:检查用户是否可以执行存储过程
- 5. 是否可以执行Insert Into存储过程?
- 6. 是否可以调用存储过程?
- 7. 执行SQL存储过程
- 8. 可能的SQL注入使用存储过程丢弃表?
- 9. SQL注入是否可以通过类似复选框的输入来执行?
- 10. 是否可以自动运行存储过程而不使用sql sever Agent?
- 11. 此存储过程是否容易受到SQL注入?
- 12. 这个存储过程是否安全,避免SQL注入?
- 13. 该存储过程是否安全的从sql注入?
- 14. SQL CLR存储过程是否阻止注入?
- 15. 使用输入和输出参数执行SQL存储过程
- 16. 在Visual Studio可执行文件中执行SQL存储过程
- 17. 存储过程中的SQL注入?
- 18. 是否可以在LINQPad中使用LINQ调用存储过程?
- 19. 从SQL Server存储过程执行Oracle存储过程
- 20. 是否可以使用Hibernate Query调用SQL Server 2008存储过程?
- 21. 是否可以使用存储过程作为参数
- 22. 是否可以在存储过程中使用“返回”?
- 23. 无法执行我的SQL Server存储过程使用db.Database.SqlQuery(sql)
- 24. 使用SQL代理在SQL Server 2012中执行存储过程
- 25. SQL存储过程执行命令
- 26. 无法执行SQL Server存储过程
- 27. SQL:存储过程执行错误
- 28. C#&SQL Server:执行存储过程
- 29. T-SQL动态执行存储过程
- 30. PHP和SQL Server存储过程执行
什么是您的编程媒介?如果你担心它直接发生,防止sql注入是多余的。 –
@布里安格雷厄姆 - 我使用PHP,你的意思是最好的方法是通过PDO消毒这个? –
假设用户界面是一个Web界面,你会在输入字段上执行html编码或javascript编码。如果它是一个桌面应用程序,你可以做类似的事情,我会想象。如果您担心存储过程本身的sql注入,那么这是一个不同的问题。也许编写一些自定义的正则表达式并在将它们传递给sql命令之前通过它们运行变量。 – Brian