接手的代码扫描时检测出安全漏洞 像这种的代码 如何进行修改?
用什么方法进行修复?
字符串拼接sql安全检查通不过如何修改
用什么方法进行修复?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
分享- 邀请回答
-
5条回答 默认 最新
於黾 2021-09-09 10:22关注给你个关键字:参数化sql
你的用户名密码直接拼接进sql语句里面,如果有人知道了你的这个规则,然后在用户名密码的文本框里输入一个完整的sql语句,拼接进你的sql语句里面执行,这就叫sql注入。黑客可以利用这个手段随便修改你的数据库。
-=-=-=-=-=
参数化就是将sql语句和值进行分离,如果有人写了一大堆sql语句放进username里,参数化后的sql会将它整个当做字符串而不是命令
-=-=-=-=
另,别信什么临时变量之类的胡话,你内部怎么折腾变量检测器才检测不到呢。检测器的原理其实就是在username文本框里输入一个单引号,如果你已经做了sql参数化,那么单引号就会被当做字符串处理而不会报错,否则单引号作为sql命令的一部分就会报错,检测器只要发现输入了单引号你的页面崩溃就会判断你的页面不安全。本回答被题主选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 1无用举报 分享
- 2021-09-09 10:20回答 5 已采纳 给你个关键字:参数化sql你的用户名密码直接拼接进sql语句里面,如果有人知道了你的这个规则,然后在用户名密码的文本框里输入一个完整的sql语句,拼接进你的sql语句里面执行,这就叫sql注入。黑客可
- 2022-01-27 15:32回答 2 已采纳 你拼的这段sql少了空格,导致关键词都连到一起去了,所以提示语法错误 'INSERT INTO',table_name,'SELECT 建议在执行动态sql前,先打印出你拼接好的sql字符串,确认
- 2021-06-30 15:46回答 3 已采纳 在xml中使用sql字符串拼接和你的数据库有关,如果你是orcale: 关键符号 || select * from student where name like '%' || #{name} ||
- 2020-08-17 15:40魏刘刘的博客 可以将恶意代码插入到要传递给关系型数据库管理系统的用来分析和执行的字符串中。任何构成SQL语句的过程都应进行注入漏洞检查,因为DBMS将执行其接收到的所有语法有效的查询。 DB:是指datebase(数据库)
- 2023-04-06 17:54回答 2 已采纳 不知道你这个问题是否已经解决, 如果还没有解决的话: 你可以参考下这个问题的回答, 看看是否对你有帮助, 链接: https://ask.csdn.net/questions/7761845除此之外,
- 2019-01-11 02:46回答 5 已采纳 select test,PATINDEX('%5@1%', test) from t_test where PATINDEX('%15@1%', test)=0 and PATINDEX('%15@
- 2021-12-09 22:09回答 3 已采纳 空格删掉,引号也删掉,语法是select * into 表名称1 from 表名2 string sql = "select * into rdrecord10" + ddate +" from
- 2020-10-25 11:30weixin_39535527的博客 SQL注入漏洞原理:SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、...
- 2022-06-26 02:23回答 1 已采纳 select code,substring(Name,1,instr(Name,',') - 1) from tableName
- 2022-04-08 23:57回答 1 已采纳 S.ENUM_CUTLEVEL 这个字段cast一下,转成varchar,估计你这个字段是个int类型,它就把这个加号当成了真正的加法,然后又发现前面这个参数无法转换成int,就报错了。建议把每个字段
- 2022-04-22 13:43回答 2 已采纳 用T-SQL CREATE Function [fnRemoveNonNumericCharacters](@strText VARCHAR(1000)) RETURNS VARCHAR(1000)
- 2023-05-05 11:46~Echo的博客 SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。...
- 2015-10-13 02:12回答 5 已采纳 select reverse(substring(reverse(FILEURL),1,charindex('/',reverse(FILEURL)) - 1)) from tableName
- 2023-12-15 16:44世界尽头与你的博客 答案是否定的,很多开发者因为个人开发习惯的原因,没有按照PrepareStatement正确的开发方式进行数据库连接查询,在预编译语句中使用错误编程方式,那么即使使用了SQL语句拼接的方式,同样也会产生SQL注入漏洞。
- 2023-02-28 16:46吃_早餐的博客 没有正确的对用户的输入进行检查,将用户的输入以拼接的方式带入到SQL语句中,导致SQL注入。
- 没有解决我的问题, 去提问
问题事件
系统已结题
3月27日
已采纳回答
3月19日-
创建了问题
9月9日
悬赏问题
- ¥15 虚幻5 UE美术毛发渲染
- ¥15 CVRP 图论 物流运输优化
- ¥15 Tableau online 嵌入ppt失败
- ¥100 支付宝网页转账系统不识别账号
- ¥15 基于单片机的靶位控制系统
- ¥15 真我手机蓝牙传输进度消息被关闭了,怎么打开?(关键词-消息通知)
- ¥15 装 pytorch 的时候出了好多问题,遇到这种情况怎么处理?
- ¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
- ¥15 手机接入宽带网线,如何释放宽带全部速度
- ¥30 关于#r语言#的问题:如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测