个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
32
4
我在准备语句方面有更多经验,我知道它们非常适合抵御 SQL 注入(inject)攻击。
我想知道 pl/pgsql 的 format/USING 和 quote_literal/quote_nullable 是否同样有效,因为准备好的语句也有一些漏洞(检查here 和 here )。
那么,pl/pgsql 的安全性是否与准备好的语句处于同一级别?我应该考虑自己的安全并使用 format/USING/quote_literal/quote_nullable 还是我必须做更多事情才能更安全?
最佳答案
在 PL/pgSQL 中使用 USING 的
EXECUTE 可以 100% 安全地避免 SQL 注入(inject)。您引用的示例不相关。
只有正确地引用才安全。这就是为什么它不如使用参数。
使用 USING 的带占位符的语句被作为准备语句处理,并且提供给 USING 的参数成为准备语句的参数。参数中的文本从不作为 SQL 语句的一部分进行解析,因此 SQL 注入(inject)是不可能的。
关于postgresql - pl/pgsql vs prepared statements 对抗 sql 注入(inject)攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48448377/
32
4
0
我正在使用源代码中的Postgres 13(Rel_13_STRATE分支),并且我使用的是来自apachea/age源代码的(Release/PG13/1.3.0分支)中的1.3.0版的Apache
我有 fusionpbx 和简单的 pgsql 工作......现在我已经用 bdr pgsql 创建了 HA fusionpbx 并且它工作正常但我不知道如何将数据从非 bdr pgsql 迁移到
我正在尝试安装 php7.0-pgsql,但总是得到 E: 无法定位软件包 phpXXX-pgsql 我在尝试 apt-get update apt-get install php7.0-pgsq
我有一个 Rails 应用程序,我正在尝试对其运行测试。在我能够成功运行 rake test:all 的前一天,一切都井井有条。今天,当我运行 rake test:all 时,我收到了这个错误: 我知
有时候我们项目中会遇到查询的字符串比较特殊:如自己本身待单引号 此时查询肯定报错。那么处理方式也很简单 只需要这样加一个单引号 这样就可以解决了 解决方式和MySQL方式不一样。 补充
1、网上一般说的方法如下: :=,赋值,比如user_id := 20; select into 赋值,比如 ?
我就废话不多说了,看代码吧~ ? 1
删除数据库的命令: ? 1
方法: pg10.0之前: select pg_switch_xlog(); pg10.0之后: select pg_switch_wal(); 备注:执行 pg_switch_xlog(
1. 获取表中普通信息:如字段名,字段类型等 ? 1
环境:VMware、CentOS-7-x86_64-DVD-2009.iso、nginx-1.26.1、php-7.2.0、postgresql-12 php最好安装对应php项目所需版本,否则会出
我正在尝试将字符串列数据排序为数字。我收到如下错误: ERROR: invalid input syntax for integer: "HEI001" SQL state: 22P02 我尝试过:
如果我将这两个 Postgres 函数定义保存在两个单独的 .sql 文件中: CREATE OR REPLACE FUNCTION column_exists(tablename text, col
我正在尝试在 Windows 10 64 位 (WAPP) 上使用 pgsql 扩展。 我有: 重新启动 Apache 取消注释 php.ini 中的所有 postgresql 扩展 使用LoadFi
我尝试使用 phpPgAdmin 在我的数据库中创建一个表。但是在生成代码后出现错误。 SQL 错误: ERROR: syntax error at or near "(" at character
我已经在 pgsql 中创建了一个存储过程。特定列中有一个 json 对象,我需要获取该 json 对象中数据的总和。在遇到空值之前,它可以完美运行。json 对象中的元素可以有空值。但是当我得到总和
我必须编写一个查询,以某种方式对我的用户名进行排序(排序),其中应优先使用特定字母(在名称中)进行排序。例如,如果我有用户 Lemon、Loger、Alan、Avon、Bland、Cavin、Clau
背景 我是 PostgreSQL 的新手,我在使用这个触发函数时遇到了一些问题,我在下面明显简化了这些问题。我可以要求帮助修复查询,但我认为我可以处理,而且我更关心的是我有很多这样的功能,我需要一种方
我正在尝试确定如何在 PgSQL 中将一年中的某一天转回日期。当我这样做时 select date '2013-01-01' + interval '53 days' 我得到一个时间戳: "2013-
这段代码没有错误,但没有任何数据变化,请帮助我。我想从一些库存表中多次更新数量 drop FUNCTION SP_PROSES_STOCK(noresep bigint, p_post_cd varc
我是一名优秀的程序员,十分优秀!