Tag: SQL-INJECTION
¿Este fragmento de código es vulnerable a la inyección de SQL en Rails 5 si el parámetro order no está sanitizado? He intentado probarlo utilizando el ejemplo proporcionado en https://rails-sqli.org/rails5, pero se genera una excepción ActiveRecord::UnknownAttributeReference. ¿Significa eso que el código está seguro contra SQLi? @exports = Export.for_public.order(params[:order] || ‘created_at . . . Read more
Nota: cualquier back-end de SQL es válido para ejemplos (Oracle, SQL Server, MySQL, Postgres), aunque para mis ejemplos estoy utilizando MySQL para probar. Me preguntaba si la siguiente construcción es propensa a la inyección de SQL: SELECT campo1, campo2, %s FROM tbl Y el usuario puede ingresar una cadena sin . . . Read more
Tengo algunas consultas HANA que dependen de la entrada PLACEHOLDER. La entrada para esto está actualmente codificada en duro, lo que está provocando la detección de vulnerabilidades de inyección SQL por parte de Veracode. Para solucionar esto, estoy tratando de parametrizar el valor dado a PLACEHOLDER utilizando PreparedStatement, pero obtengo . . . Read more
¿Es un método seguro en C# contra la inyección de SQL? string sqlDeclare = $"DECLARE @number nvarchar(MAX) SET @number = '%{sNumber}%' "; string sqlFilter = ""; if (!string.IsNullOrEmpty(Number)) { sqlFilter += $" and [tabla].[número] like @number "; } string sql = sqlDeclare + " SELECT [tabla].[*] "; sql += " . . . Read more
Aplicación Net Core. Tengo muchas API en mi aplicación. Ejecuté una herramienta de escaneo de seguridad y encontré una inyección SQL en la siguiente API: [HttpGet] [Route("getdata")] public async Task<string> GetData(string param1 = "", string param2 = "", string param3 = "") { //lógica } Abajo se muestra un comentario . . . Read more