以下查询中 sql 注入的可能性

【问题标题】:Possibilities of sql-injection in the following query以下查询中 sql 注入的可能性
【发布时间】:2015-11-27 11:39:27
【问题描述】:

我已经使用 TDE 对我的数据库应用了表级加密,并且正在通过适当的身份验证从我的 Windows 应用程序访问数据库:

我的查询可能如下所示(打开一个宽条目进行注入)。

VB

Dim myQuery="Select * from myTable where some_id='" & txtUserId.Text & "'

c#

string myQuery="Select * from myTable where some_id='" + txtUserId.Text + "'

假设入侵者正在尝试某种注入技术,输入诸如sameValue' or 1=1 or ' 之类的文本,以便提供整个数据。我的问题是,在这种情况下,他获得的是加密数据还是实际数据

注意:我不在我的应用程序中使用此类查询,而是在整个应用程序中使用参数化查询和 sp。要求这只是为了澄清。

【问题讨论】:

    标签: c# sql-server vb.net sql-injection tde


    【解决方案1】:

    他会得到实际的数据。 是的,TDE 会加密整个数据库,但只有当有人拿走数据库文件或备份时才有意义。如果有人登录数据库,或者通过SQL注入潜入,没有区别,他会得到实际数据。

    【讨论】:

      【解决方案2】:

      TDE 正在加密静态数据 (link here) ,因此不能保护您免受注入。它只加密数据文件和数据日志。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2014-11-14
        • 1970-01-01
        • 2010-11-15
        • 2015-10-19
        • 2011-07-06
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode