代码之家  ›  专栏  ›  技术社区  ›  Kyle Rosendo

健全性检查-连接日期值-SQL注入

concatenation sql-injection datetime tsql
  •  0
  • Kyle Rosendo  · 技术社区  · 15 年前

    我们目前收到的值参数为 VARCHAR 然后从中建立一个日期。我想确认下面的方法将停止此语句中SQL注入的可能性: 

    select CONVERT(datetime, '2010' + '-' + '02' + '-' + '21' + ' ' + '15:11:38.990')

    另一个注意事项是,传递给存储过程的实际参数的长度绑定为 (4, 2, 2, 10, 12) VARCHAR 与上述内容一致。

    2 回复  |  直到 15 年前
        1
  •  1
  •   KM.    15 年前

    如果在存储过程中使用这样的语句: 

    select CONVERT(datetime, @Year + '-' + @Month + '-' + @Day+ ' ' + @Time)

    那么您就可以了,因为目标数据类型 datetime 将只接收有效的日期字符串。

    如果在存储过程中这样使用它: 

    EXEC ('select CONVERT(datetime, @Year+''-''+@Month+''-''+@Day+'' ''+ @Time)')

    你可能会遇到一个问题,不太可能,因为输入字符串的长度很短,但是谁知道一些黑客会想到什么来适应这个小空间。

        2
  •  0
  •   chris    15 年前

    如果该语句是一个存储过程,那么您无论如何也不会受到SQL注入的影响。

    如果该语句是用一种语言生成的(例如,php),那么只需确保在执行过程中转义字符串(对于MySQL,用\'替换,对于MSSQL,用''替换),以避免注入攻击。

    推荐文章
    cagta  ·  如何使用此python脚本避免硬编码sql表达式?
    7 年前
    John  ·  MySQL php查询缺陷
    7 年前
    DavidC  ·  Rails ActiveRecord:如何在jsonb上使用带双引号的绑定变量
    7 年前
    Mori  ·  Azure函数中针对CosmosDB的SQLInjection
    7 年前
    Константин Ковалев  ·  Laravel eloquent selectRaw for SQL注入
    7 年前
    zerocool  ·  数据库中的查询级别
    7 年前
    Arunabh  ·  在不使用预处理语句的情况下摆脱SQL注入
    7 年前
    Michael Pomogajko  ·  为基于时间的盲sqlinjection查找sql查询
    7 年前
    Paul  ·  是节点中的转义函数。js mysql包是否足以安全地查询mysql数据库(无需使用准备好的语句)?
    8 年前
    Web Dev Guy  ·  使用WordPress get\u results()数据库函数是否会阻止sql注入
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号