跟隨MySql存儲過程易受sql注入影響嗎?
[英]Are following MySql stored procedure vulnarable to sql injection?
問題描述
閱讀了幾乎所有與此相關的文章,但無法判斷我的程序是否易受攻擊? 任何幫助表示贊賞。
1)呼叫程序為:
$query = ($is_mine?'call dispatch.dis_get_my_assigned_tasks("'.$username.'");'
程序:
CREATE DEFINER=`test`@`localhost` PROCEDURE `dis_get_all_assigned_tasks`()
BEGIN
select distinct at_id, at_issues, at_location, at_room_number, user_fname,
from dispatch.dis_assigned_tasks
left outer join dispatch.dis_users
on user_id = at_user
order by at_location, at_user_pickup_timestamp desc;
END
2)調用過程為:
$query = "call dispatch.dis_get_user_info('".$username."');";
程序:
CREATE DEFINER=`test`@`localhost` PROCEDURE `dis_get_user_info`(IN username VARCHAR(45))
BEGIN
select * from dispatch.dis_users where user_username = username;
END
1 個解決方案
解決方案1
0 2013-08-28 19:31:03
該過程不容易受到SQL注入的攻擊, 但您的查詢卻很容易受到攻擊。
為了防止(並了解)SQL注入,請參閱我們的參考問題:
對於“幾乎所有與此相關的帖子”,您說您已閱讀,似乎它們沒有很好地涵蓋該主題。 我建議您選擇更好的材料來接受教育。
- SQL注入預防速查表 (您需要能夠閱讀用不同語言編寫的代碼)
在SQL注入中,存儲過程中的預准備語句是否安全?
[英]Is a prepared statement inside a stored procedure safe from SQL injection?
在PHP中防止高級MySQL存儲過程語句中的注入
[英]protecting against injection in an advanced MySQL stored procedure statement in PHP
我是否可以通過使用存儲過程而不是查詢來避免 SQL 注入?
[英]Am I safe from SQL Injection by using a stored procedure instead of query?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.