É verdade que os procedimentos armazenados impedem ataques de injeção de SQL nos bancos de dados PostgreSQL? Eu fiz uma pequena pesquisa e descobri que o SQL Server, Oracle e MySQL não são seguros contra injeção de SQL, mesmo se usarmos apenas procedimentos armazenados. No entanto, esse problema...
No Postgres, as consultas preparadas e as funções definidas pelo usuário são equivalentes como um mecanismo de proteção contra a injeção de SQL ? Existem vantagens particulares em uma abordagem em relação à
Estou no MySQL 5.5.21 e estou tentando inserir o caractere de rosto sorridente '\ xF0 \ x9F \ x98 \ x8A'. Mas para a minha vida, não consigo descobrir como fazê-lo. De acordo com vários fóruns que eu tenho lido, é possível. Mas sempre que eu tento, os dados ficam truncados. mysql> INSERT INTO...
Eu fiz o seguinte procedimento armazenado: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Agora, tentei fazer algo assim. Talvez eu...
Ouvi dizer que você não deseja usar o SQL dinâmico. Você pode dar um exemplo concreto ou exemplo da vida real? Pessoalmente, codifico algumas vezes no meu banco de dados. Eu acho que está tudo bem, porque é flexibilidade. Meu palpite é sobre injeção ou desempenho de SQL. Algo...
Estou testando um aplicativo baseado em oracle e encontrei o seguinte código: Consulta = "SELECT nome dos funcionários WHERE id = '" + PKID + "';" isto é, a string de consulta contém aspas ao redor do valor PKID, obtido diretamente do URL. Obviamente, essa é uma injeção clássica de SQL que está...
Qual é o método do SQL Server de identificadores de cotação segura para geração dinâmica de sql. MySQL tem quote_identifier O PostgreSQL possui quote_ident Como garantir um nome de coluna gerado dinamicamente para uma instrução gerada dinamicamente que a própria coluna não é um ataque de...
Eu estava olhando para um antigo procedimento armazenado hoje e notei que estava usando quotenameos parâmetros de entrada. Depois de fazer algumas escavações para descobrir o que isso faz exatamente me deparei com este site . Agora eu entendo o que ele faz e como usá-lo, mas o site diz que é usado...
Vejo o código dos desenvolvedores usando a conversão implícita de datas. Eu gostaria de uma resposta definitiva para por que eles não deveriam fazer isso. SELECT * from dba_objects WHERE Created >=