Est-il vrai que les procédures stockées empêchent les attaques par injection SQL contre les bases de données PostgreSQL? J'ai fait quelques recherches et découvert que SQL Server, Oracle et MySQL ne sont pas sûrs contre l'injection SQL, même si nous n'utilisons que des procédures stockées....
Dans Postgres, les requêtes préparées et les fonctions définies par l'utilisateur sont-elles équivalentes en tant que mécanisme de protection contre l'injection SQL ? Y a-t-il des avantages particuliers dans une approche par rapport à
J'ai effectué la procédure stockée suivante: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Maintenant, j'ai essayé de faire quelque...
J'ai entendu quelqu'un dire que vous ne vouliez pas utiliser Dynamic SQL. Pouvez-vous donner un exemple concret ou un exemple concret? Personnellement, je le code plusieurs fois dans ma base de données. Je pense que c'est OK parce que c'est la flexibilité. Ma conjecture concerne l'injection SQL ou...
Je teste une application basée sur Oracle et j'ai trouvé le code suivant: Requête = "CHOISIR le nom parmi les employés OERE id = '" + PKID + "';" c'est-à-dire que la chaîne de requête contient des guillemets autour de la valeur PKID qui est obtenue directement à partir de l'URL. De toute évidence,...
Quelle est la méthode SQL Server de citation sûre des identificateurs pour la génération dynamique de SQL. MySQL a quote_identifier PostgreSQL a quote_ident Comment garantir un nom de colonne généré dynamiquement pour une instruction générée dynamiquement que la colonne elle-même n'est pas une...
Je regardais une ancienne procédure stockée aujourd'hui et j'ai remarqué qu'elle utilisait quotenameles paramètres d'entrée. Après avoir creusé pour comprendre ce que cela fait exactement, je suis tombé sur ce site . Je comprends maintenant ce qu'il fait et comment l'utiliser, mais le site dit...
Je vois du code de développeurs utilisant une conversion de date implicite. Je voudrais une réponse définitive à la raison pour laquelle ils ne devraient pas faire cela. SELECT * from dba_objects WHERE Created >=