sql-server - FieldByName 注入(inject)安全吗？-6ren

sql-server - FieldByName 注入(inject)安全吗？

转载作者：行者123 更新时间：2023-12-03 08:14:31

29

4

我说的是 Delphi + ADO + MSSQL。
好的，我知道带有参数的查询对于 SQL 注入(inject)是非常安全的。
另一方面，动态查询是相当不安全的。
但是经典的 FieldByName 方法呢？我可以安全地为 FieldByName 分配一个 ABSOLUTELY 任何字符串值，而不会冒注入(inject)的风险吗？

最佳答案

这是安全的。
Ado 正在使用更新/插入/删除的参数。

您可以使用 SQLProfile 进行跟踪，例如

exec sp_executesql N'UPDATE "test".."Activity" SET "data"=@P1 WHERE "InvokeTime"=@P2 AND "data"=@P3',N'@P1 float,@P2 datetime,@P3 float',1,'2013-04-24 10:46:22.933',0,48607825089780715

exec sp_executesql N'INSERT INTO "test".."Activity" ("InvokeTime","data") VALUES (@P1,@P2)',N'@P1 datetime,@P2 float','2000-01-01 00:00:00',2

exec sp_executesql N'DELETE FROM "test".."Activity" WHERE "InvokeTime"=@P1 AND "data"=@P2',N'@P1 datetime,@P2 float','2000-01-01 00:00:00',3

关于sql-server - FieldByName 注入(inject)安全吗？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/17209680/

29

4

0

文章推荐： amazon-s3 - 如何删除版本控制的 S3 存储桶？

文章推荐： javascript - Node.js 应用程序的配置管理选项

Delphi - FieldByName.AsString - 良好实践
我读过一篇博客文章(目前我找不到链接)，其中作者说分配局部变量比使用 ADOQuery.FieldByName('...').asString 或更快TSQLQuery.FieldByName('..
java - jOOq 替代 DSL.fieldByName
我碰巧有一个非常有趣的查询和问题。我们正在运行 Oracle 12c(大约一年前从 11g 迁移)，最近刚刚从 jOOq 3.4.x 迁移到 3.7.3，我不想使用现在已弃用的 DSL.fieldBy
delphi - TSQLQuery.FieldByName().AsString -> TStringStream 损坏数据
我正在使用Delphi XE2。我的代码从 SQL-Server 2008 R2 数据库中提取数据。返回的数据是一个包含 1,055,227 字节数据的 nvarchar(max) 字段。我使用以下代
sql-server - FieldByName 注入(inject)安全吗？
我说的是 Delphi + ADO + MSSQL。好的，我知道带有参数的查询对于 SQL 注入(inject)是非常安全的。另一方面，动态查询是相当不安全的。但是经典的 FieldByName
delphi - 编译器是否优化(关闭)相同的 FieldByName 调用？
在我维护的一些代码中，我看到 TClientDataSet.OnCalcFields 事件处理程序中使用了两种不同的方法: with DataSet do begin // 1. Call
go - 在 golang 反射 FieldByName 中忽略大小写
我正在尝试使用 golang 中的反射从一个结构中读取，我能够成功地做到这一点，但我想知道我该怎么做才能忽略字段名称的大小写。我有下面的代码 type App struct{ AppID
go - 如何在 Reflect.FieldByName() 中读取 slice
我将数据传递给具有输入类型接口(interface)的函数。这段代码: main(){ SampleData := Input{ Recipients: []string{"abc"
go - 如何确定 `value.FieldByName(name)` 是否找到该字段？
在下面的示例中，当未找到 field 时，我正在尝试找出如何停止执行我的程序。如果 FieldByName(key) 返回零值，我该如何警告用户未找到该字段？ field := mutable.Fi
reflection - Reflect.Value.FieldByName 导致 panic
调用反射值的 .FieldByName 方法时出现以下错误，确切的错误是:- panic: reflect: call of reflect.Value.FieldByName on ptr Valu
delphi - 当 FieldByName ('fieldname' ) 具有空值时， AsString 返回的值是多少？
val 有什么值(value)？，为字符串类型，当列名fieldName时获取是 null对于选定的行？这里myQry是一个数据库查询。 val := myQry.FieldByName('fiel
go - 当值是 reflect.Ptr 时如何使用 reflect.FieldByName
我有一个 project 函数，它返回一个 slice ，其中包含输入 slice 中每个结构或映射的名称的字段值。我遇到输入 slice 包含指向结构的指针的情况。我已经设置了一个递归函数来对值进行
go - 在 ptr 值上反射(reflect) : call of reflect. Value.FieldByName
我有一个类似这个演示的数据结构。 type Family struct { first string last string } type Person struct { name
go - panic : reflect: call of reflect. Value.FieldByName 接口(interface)值
我有一个类型为 interface{} 的变量，我想使用反射更改字段的值。我该怎么做？由于其他要求，变量必须是 interface{} 类型。如果变量不是 interface{} 类型，则一切正常，否

首页

博学

6Ren·AI

商城

sql-server - FieldByName 注入(inject)安全吗？