个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
31
4
在将密码转换为二进制哈希值以存储在数据库中时,我注意到除了通常的乱码之外,还有一些引号、空格和字母表,这些巧合可能构成有效 SQL 语句的一部分。
出于好奇,我想知道是否有人遇到过任何字符串在哈希后神奇地转换为有效 SQL 语句的一部分,无论是 MD5、SHA1 等。
添加注释:虽然这个问题可能与安全相关,但它更像是一个好奇问题,因为我已经知道如何防御注入(inject)攻击。
最佳答案
您不应该永远使用以下方式将数据添加到数据库:
string hash = Hash(password);
string sql = "update users set passwordHash = '" + hash +
"' WHERE userID = " + userID;
这非常危险。这种类型的场景对于 SQL 注入(inject)攻击也很常见。为了安全、正确地执行此操作,您应该使用参数。
string hash = Hash(password);
string sql = "update users set passwordHash = @hash WHERE userID = @userID";
using (var cmd = new SqlCommand(sql, dbConn))
{
cmd.Parameters.Add("@userID", SqlDbType.Int).Value = userID;
cmd.Parameters.Add("@hash", SqlDbType.VarChar).Value = hash;
cmd.ExecuteScalar();
}
关于mysql - 构成 SQL 语句一部分的二进制哈希?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8077163/
31
4
0
您好,我正在使用 AWS EKS 开发 kubernetes。当我将 docker-compose 文件转换为 kompose 文件时,我遇到了 kompose 文件的问题,我遇到了卷挂载点问题,而且
在将密码转换为二进制哈希值以存储在数据库中时,我注意到除了通常的乱码之外,还有一些引号、空格和字母表,这些巧合可能构成有效 SQL 语句的一部分。 出于好奇,我想知道是否有人遇到过任何字符串在哈希后神
我的组件具有动态部分和 compose。动态部分在其他模块中,即节点项目。 如果我想在页面中使用自定义元素,例如: 我收到一条错误消息,指出无法在 ./my-custom-element/someV
我有一个 pandas 数据框,其中一列由数组组成。所以每个单元格都是一个数组。 假设数据框 df 中有一个列 A,这样 A = [ [1, 2, 3], [4, 5, 6],
当 HTTP 请求和响应在互联网上传输时,请求中文本的格式是什么?是 ASCII 码吗? 例子:如果 HTTP 请求如下所示 - GET /mysite/ HTTP/1.1 -- rest of t
我是一名优秀的程序员,十分优秀!