代码之家  ›  专栏  ›  技术社区  ›  Ted Yu

用于OSWAP ESAPI的Sybase编解码器

esapi owasp codec sybase java
  •  0
  • Ted Yu  · 技术社区  · 7 年前

    我使用sybase数据库。

    如果我想使用OWASP ESAPI来防止SQL注入

    我应该使用哪种编解码器?

    OracleCodec? MySQLCodec? DB2Codec? https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/org/owasp/esapi/codecs/package-summary.html

    非常感谢。

    1 回复  |  直到 7 年前
        1
  •  1
  •   avgvstvs    6 年前

    首先,不要使用ESAPI来阻止SQL注入。现有的所有SQL编码编解码器的设计意图都是为了在网站遭到黑客攻击的情况下提供一种应急措施,在重写所有查询以使用 Prepared Statements.

    Here's an excerpt of documentation for the OracleCodec : 

    /**
 * Implementation of the Codec interface for Oracle strings. This function will only protect you from SQLi in the case of user data
 * bring placed within an Oracle quoted string such as:
 * 
 * select * from table where user_name='  USERDATA    ';

    忽略Sybase手册中的以下文字:

    不要准备只使用一次的语句

    使用准备好的语句或存储过程 全部的 数据库事务。在近十年的工程实践中,我从来没有看到过使用预先准备好的语句会导致实际性能下降。在大多数语言中,性能都会提高。Java就是这样。

    准备好的声明是这样的:

    [2019年编辑] 下面的代码在技术上可能是SQLi本身,当我写这篇文章时,我想指出 dbName 以这种方式使用参数是安全的 只有 当服务器对该值拥有绝对控制权时。 [/2019年] 

    String updateString =
    "update " + dbName + ".COFFEES " +
    "set SALES = ? where COF_NAME = ?";
updateSales = con.prepareStatement(updateString);

    Here are more.

    ESAPI目前没有提供Sybase编解码器,目前也没有开发Sybase编解码器的计划。

    资料来源:我目前是ESAPI的项目联合负责人。

    推荐文章
    junsung kang  ·  Cassandra突然挂起,返回WindowsFileSystemException:“该进程不可访问,因为该文件正被另一个进程使用”
    1 年前
    vaibhav nalamalpu  ·  Intellij 2023.1无法打开(即使在重新安装后)[关闭]
    1 年前
    Katlock  ·  如何在Spring中将Restpage转换为特定的对象类型?
    1 年前
    Edward Khazzoum  ·  为什么在H2数据库中创建表时出现错误4201-214?
    1 年前
    Yellow Blood  ·  If语句在应为[重复]时未返回True
    1 年前
    user21749640  ·  List.contents(A)返回false,但List.contens(B)和B.equals(A)是否返回true?
    1 年前
    MysticSticker  ·  如何在savedPreferences中保存按钮[]文本
    1 年前
    Pektra Mom  ·  如何将数组中的所有字符串替换为特定的特殊字符
    1 年前
    Nitin Kshirsagar  ·  在谷歌云上将java8迁移到java11/17是强制性的吗
    1 年前
    changhoon seong  ·  为什么这个代码没有按照我想的方式输出?(关于班次)
    1 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号