- xml - AJAX/Jquery XML 解析
- 具有多重继承的 XML 模式
- .net - 枚举序列化 Json 与 XML
- XML 简单类型、简单内容、复杂类型、复杂内容
我正在学习 RoR/数据库,这个主题让我特别困惑。在 Agile Development with Rails 4 这本书中,他们给出了一个例子,即查找所有订单的列表,其中包含一个名为 Dave 的条目:
pos = Order.where("name = 'Dave' and pay_type = 'po")
这本书继续说你永远不想做这样的事情:
name = params[:name]
pos = Order.where("name = '#{name}'and pay_type = 'po'")
相反,你应该这样做:
name = params[:name]
pos = Order.where(["name = ? and pay_type = 'po'",name])
我明白,什么是 SQL 注入(inject)作为一个概念,但有一些细节让我感到困惑。对于初学者,SQL 注入(inject)究竟是如何作为一种语法工作的。
我知道危险在于,如果您像第一个示例那样插入外部表单参数,那么有人可能会删除表/数据库,但是怎么做呢?
假设你有这个:
name = params[:name] #DROP DATABASE database_name
pos = Order.where("name = '#{DROP DATABASE database_name}'and pay_type = 'po'")
这就是 SQL 注入(inject)的工作原理吗? SQL是一种语法,数据库中不应该有“name = DROP DATABASE database_name”的字段,这不是返回错误而不是删除数据库吗?
此外,问号版本如何防止这种情况发生。同样,假设您有这种情况。
name = params[:name] #DROP DATABASE database_name
pos = Order.where(["name = ? and pay_type = 'po'", DROP DATABASE database_name])
这会不会用 DROP DATABASE database_name 语法替换问号,然后我们会不会遇到与第一个示例中相同的问题?这究竟是如何保护应用程序免受 SQL 攻击的?我在 http://hub.tutsplus.com/ 上搜索了一些教程并在谷歌上搜索,但我不明白它背后的概念。有帮助吗?
最佳答案
对于什么是 SQL 注入(inject),我可以给出最简单的解释:
这可能会产生如下所示的 SQL 查询:
SELECT * FROM Order WHERE name = 'Dan' AND pay_type = 'po'
现在好心的用户会像上面那样提供名字 Dan。
但是一个邪恶的用户(我们称他为 Bobby)会提供名称:鲍比表';删除数据库主机; --
这会创建如下查询:
SELECT * FROM Order WHERE name = 'Bobby Tables'; DROP DATABASE master; --' AND pay_type = 'po'
它有效地执行了两个查询:
SELECT *
FROM Order
WHERE name = 'Bobby Tables';
DROP DATABASE master;
现在数据库不见了。当他们从数据库中提取私有(private)信息(如用户名/密码或信用卡信息)时,会造成更严重的损害
至于为什么问号现在神奇地保护你:
使用 RoR 中的问号,使用称为参数化的模式。当您参数化 SQL 查询时,您以这样一种方式编写它以防止任何人输入成功的 SQL 注入(inject)。在所有使用问号的地方,它都被参数代替。然后通过转义任何引号将该参数安全地设置为查询顶部的值。
如果您现在将姓名 Dan 提供给:
Order.where(["name = ? and pay_type = 'po'", params[:name])
查询看起来像这样:(RoR 内部参数化可能略有不同,但效果是一样的)
DECLARE @p0 nvarchar(4000) = N'po',
@p1 nvarchar(4000) = N'Dan';
SELECT [t0].[ID], [t0].[name], [t0].[pay_type]
FROM Order AS [t0]
WHERE ([t0].[name] = @p1) AND ([t0].[pay_type] = @p1)
现在如果邪恶的鲍比带着他的名字出现:“鲍比表”;删除数据库主机; --
如果将参数化(并转义引号)查询如下:
DECLARE @p0 nvarchar(4000) = N'po',
@p1 nvarchar(4000) = N'Bobby Tables''; DROP DATABASE master; --';
SELECT [t0].[ID], [t0].[name], [t0].[pay_type]
FROM Order AS [t0]
WHERE ([t0].[name] = @p1) AND ([t0].[pay_type] = @p1)
现在这是一个非常安全的查询
希望能帮助你理解
关于sql - 这个 SQL 注入(inject)是如何工作的?需要解释,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23529183/
我已阅读有关依赖注入(inject)的信息。然后来了 构造函数注入(inject), setter/getter 注入(inject) 二传手注入(inject) 接口(interface)注入(in
我正在研究依赖注入(inject)模式。我看过很多例子,其中一个典型的例子是使用 XxxService/XxxRepository 作为例子。但是在我看来,按照UML的概念,类XxxRepositor
我开始使用 Google Guice。 我有一个简单的问题: javax.inject 的 @Inject 注释和 com.google.inject 的 有什么区别@Inject 一个 ? 谢谢。
当使用构造函数注入(inject)工厂方法时,依赖的属性不会得到解析。但是,如果在解析依赖的组件之前解析了工厂方法,则一切都会按预期工作。此外,当仅使用属性注入(inject)或构造函数注入(inje
我有这样的事情: class Root { public Root(IDependency dep) {} } class Dependency:IDependency { p
听完Clean Code Talks ,我开始明白我们应该使用工厂来组合对象。因此,例如,如果 House有一个 Door和 Door有一个 DoorKnob , 在 HouseFactory我们创建
情况:我需要在一些 FooClass 中进行惰性依赖实例化,所以我通过 Injector类作为构造函数参数。 private final Injector m_injector; public Foo
在编写代码时,我们应该能够识别两大类对象: 注入(inject)剂 新品 http://www.loosecouplings.com/2011/01/how-to-write-testable-cod
这个问题是关于 Unity Container 的,但我想它适用于任何依赖容器。 我有两个具有循环依赖关系的类: class FirstClass { [Dependency] pub
如果我有 10 个依赖项我需要注入(inject)并且不想在构造函数中有 10 个参数,我应该使用哪种注入(inject)模式? public class SomeClass { privat
我在使用 Angular2 DI 时遇到了问题。我尝试将一个类注入(inject)另一个类,它引发了以下错误: 留言:"Cannot resolve all parameters for 'Produ
对依赖注入(inject)还很陌生,我想弄清楚这是否是一种反模式。 假设我有 3 个程序集: Foo.Shared - this has all the interfaces Foo.Users -
我正在尝试了解 Angular 14 的变化,尤其是 inject()我可以将模块注入(inject)功能的功能,我不需要为此创建特殊服务..但我想我弄错了。 我正在尝试创建一些静态函数来使用包 ng
希望这个问题不是太愚蠢,我试图掌握更高级的编程原理,因此试图习惯使用 Ninject 进行依赖注入(inject)。 因此,我的模型分为几个不同的 .dll 项目。一个项目定义了模型规范(接口(int
我最近一直在大量使用依赖注入(inject)、测试驱动开发和单元测试,并且开始喜欢上它。 我在类中使用构造函数依赖,这样我就可以为单元测试注入(inject)模拟依赖。 但是,当您实际需要生产环境中的
我有下面的代码来使用 Guice 进行依赖注入(inject)。第一个是使用构造函数注入(inject),而另一个是直接在字段上方添加 @Inject。这两种方式有什么区别吗? Guice官网似乎推荐
这个问题在这里已经有了答案: Angular2 Beta dependency injection (3 个答案) 关闭 7 年前。 我正在使用 angular2 测试版。并在使用 @Inject
有没有可能做这样的事情? (因为我尝试过,但没有成功): @Injectable() class A { constructor(private http: Http){ // <-- Injec
我很恼火必须通过 Constructor 传递管道对象,因为我想为业务实体或要传递的值保留构造函数参数。 所以我想通过 setter ,但只要这些 setter 没有被填充,我的包含依赖项的对象就不应
假设我有这个: SomePage.razor: @inject Something something @page "/somepage" My Page @code { // Using
我是一名优秀的程序员,十分优秀!