我使用sybase数据库。
如果我想使用 OWASP ESAPI 来防止 SQL 注入
我应该使用哪种编解码器?
甲骨文编解码器? MySQL编解码器? DB2 编解码器? https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/org/owasp/esapi/codecs/package-summary.html
谢谢!
【问题讨论】:
标签: java sybase codec owasp esapi
首先,不要使用 ESAPI 来防止 SQL 注入。存在的所有 SQL 编码编解码器的设计意图是在网站被黑客入侵的事件中提供紧急措施,并且在重写所有查询以使用 Prepared Statements. 时需要快速而肮脏的东西。
Here's an excerpt of documentation for the OracleCodec:
/**
* Implementation of the Codec interface for Oracle strings. This function will only protect you from SQLi in the case of user data
* bring placed within an Oracle quoted string such as:
*
* select * from table where user_name=' USERDATA ';
忽略 Sybase 手册中的以下文字:
不要准备只使用一次的语句
对所有 数据库事务使用准备好的语句或存储过程。在近十年的工程生涯中,我从未真正见过使用准备好的语句会导致实际性能下降。在大多数语言中,性能都会提高。 Java 肯定是这种情况。
准备好的语句如下所示:
[2019 年编辑]
下面的代码在技术上可能是 SQLi 本身,当我写这篇文章时,我的意思是指出 dbName 参数可以安全地以这种方式使用仅当服务器对值具有绝对控制权时.[/2019]
String updateString =
"update " + dbName + ".COFFEES " +
"set SALES = ? where COF_NAME = ?";
updateSales = con.prepareStatement(updateString);
ESAPI 目前没有提供 Sybase 编解码器,目前也没有开发的计划。
资料来源:我目前是 ESAPI 的项目联合负责人。
【讨论】: