联邦登录(例如OpenID)会带来SQL注入风险吗?
是否可以安全地假设所有身份提供者都会清理用户信息,或者是否可以创建一个帐户或身份提供者来传递恶意用户名、电子邮件、联系人列表等 不要以为其他人会为您清理数据。自己动手,或者(更好地)以一种通过正确编码参数来防止SQL注入的方式连接到数据库。永远不要假设其他人会为您清理数据。您可以自己操作,或者(更好地)以一种通过正确编码参数来防止SQL注入的方式连接到您的数据库。我们有几个人的电子邮件地址中有撇号,这不是无效的……问题不是撇号,而是编码人员没有使用参数化查询和/或存储过程。实际上,现在没有人应该使用内联SQL并连接字符串,这将阻止几乎所有的SQL注入攻击联邦登录(例如OpenID)会带来SQL注入风险吗?,openid,sql-injection,dotnetopenauth,federated-identity,Openid,Sql Injection,Dotnetopenauth,Federated Identity,是否可以安全地假设所有身份提供者都会清理用户信息,或者是否可以创建一个帐户或身份提供者来传递恶意用户名、电子邮件、联系人列表等 不要以为其他人会为您清理数据。自己动手,或者(更好地)以一种通过正确编码参数来防止SQL注入的方式连接到数据库。永远不要假设其他人会为您清理数据。您可以自己操作,或者(更好地)以一种通过正确编码参数来防止SQL注入的方式连接到您的数据库。我们有几个人的电子邮件地址中有撇号,这不是无效的……问题不是撇号,而是编码人员没有使用参数化查询和/或存储过程。实际上,现在没有人应该
如果您必须在例如SQL Server中使用动态SQL,则使用带有参数的
sp_executeSQLEXEC如果您确实必须在例如SQL Server中使用动态SQL,则使用带有参数的
sp_executeSQLEXEC当您收到数据时,确保数据符合您的期望。另外,请注意安全,始终使用准备好的语句/参数化查询,无需转义参数,或者如果不可能,转义查询参数。习惯这样做,你就不会有令人不快的惊喜。即使他们不允许使用此类字符,即使规范禁止使用此类字符,你也不应该依赖于此
当您收到数据时,确保数据符合您的期望。另外,请注意安全,始终使用准备好的语句/参数化查询,无需转义参数,或者如果不可能,转义查询参数。养成这样做的习惯,你就不会有令人不快的惊喜。现有供应商的可信度是不相关的。攻击者可以编写自己的身份提供程序,并使用它向您发送他们想要的任何内容。您几乎不应该信任第三方数据。现有提供商的可信度与之无关。攻击者可以编写自己的身份提供程序,并使用它向您发送他们想要的任何内容。实际上,您永远不应该信任第三方数据。动态SQL有一些有效的用例,可以说永远不应该使用它是天真的。在最后一段之前,我在哪里提到动态SQL?这意味着,您说使用存储过程或参数化查询以外的任何东西都是错误的,默认情况下,唯一的其他东西是动态SQL。许多由ORM框架构建的
SELECTSELECT