MS SQL Server
  1. MS SQL Server
  3. Possibilités de sql-injection dans la requête suivante
Intereting Posts
Blocage de SQL Server sous NHibernate Comment get toutes les colonnes de la première table lorsqu'il n'y a pas de colonne correspondante dans SQL Server 2012 Comment corriger cette erreur: Impossible d'établir une connection à la database avec le file de configuration Hibernate sélectionné.Veuillez vérifier la database … rnate.cfg.xml CAST et IsNumeric SQL Server empêche les scripts en cours d'exécution sur l'instance incorrecte Pour UNION ou NON pour UNION SQL Server – Copier des données entre des tables Comment extraire un logging de la database SQL Server dans le model MVC Après le triggersur d'insertion – SQL Server 2008 mettre à jour un champ de table de database avec une list séparée par des virgules Comment traiter avec SET ANSI_NULLS ON ou OFF? deux requêtes renvoyant des données différentes Diviser une colonne en plusieurs lignes Entity Framework et chargement de toutes les inputs de la database vs chargement au besoin Boucles de requête récursives CTE

Possibilités de sql-injection dans la requête suivante

J'ai appliqué un chiffrement de niveau table en utilisant TDE à ma database, et j'accède à la database à partir de mon application Windows, via une authentification correcte:

ma requête peut ressembler à ceci (ouvre une input large pour l'injection).

VB 

Dim myQuery="Select * from myTable where some_id='" & txtUserId.Text & "'

c # 

 ssortingng myQuery="Select * from myTable where some_id='" + txtUserId.Text + "'

Considérez qu'un intrus essaie une technique d'injection, en entrant du text comme sameValue' or 1=1 or ' afin qu'il donne l'set des données. ma question est que, dans ce cas, qu'il obtienne datatables cryptées ou datatables réelles

Note: je n'utilise pas de telles requêtes dans mon application, j'utilise la requête paramétrée et sp dans mon application. requestr cela pour une clarification.

TDE crypte datatables au repos, (lien ici) , et en tant que tel ne vous protège pas de l'injection. Il ne crypte que les files de données et les journaux de données.

Il obtiendra datatables réelles. Oui, TDE crypte la database entière, mais cela n'a d'importance que si quelqu'un supprime les files de database ou la sauvegarde. Si quelqu'un se connecte à la database, ou se faufile par injection SQL, il n'y a pas de différence, il obtiendra datatables acutales.