sql-injection 在以下查询中的可能性
Possibilities of sql-injection in the following query
我已经使用 TDE 对我的数据库应用了 table 级别的加密,并且正在通过适当的身份验证从我的 windows 应用程序访问数据库:
我的查询可能如下所示(打开一个用于注入的宽条目)。
VB
Dim myQuery="Select * from myTable where some_id='" & txtUserId.Text & "'
c#
string myQuery="Select * from myTable where some_id='" + txtUserId.Text + "'
假设入侵者正在尝试某种注入技术,输入 sameValue' or 1=1 or ' 之类的文本,以便提供全部数据。我的问题是,在这种情况下,他得到的是加密数据还是实际数据
注意:我不在我的应用程序中使用此类查询,而是在我的整个应用程序中使用参数化查询和 sp。要求澄清。
他会得到实际的数据。
是的,TDE 加密了整个数据库,但只有在有人带走数据库文件或备份时才有意义。如果有人登录数据库,或者通过SQL注入潜入,没有区别,他会得到实际数据。
TDE 正在加密静态数据,(link here),因此不能保护您免受注入。它仅加密数据文件和数据日志。
我已经使用 TDE 对我的数据库应用了 table 级别的加密,并且正在通过适当的身份验证从我的 windows 应用程序访问数据库:
我的查询可能如下所示(打开一个用于注入的宽条目)。
VB
Dim myQuery="Select * from myTable where some_id='" & txtUserId.Text & "'
c#
string myQuery="Select * from myTable where some_id='" + txtUserId.Text + "'
假设入侵者正在尝试某种注入技术,输入 sameValue' or 1=1 or ' 之类的文本,以便提供全部数据。我的问题是,在这种情况下,他得到的是加密数据还是实际数据
注意:我不在我的应用程序中使用此类查询,而是在我的整个应用程序中使用参数化查询和 sp。要求澄清。
他会得到实际的数据。 是的,TDE 加密了整个数据库,但只有在有人带走数据库文件或备份时才有意义。如果有人登录数据库,或者通过SQL注入潜入,没有区别,他会得到实际数据。
TDE 正在加密静态数据,(link here),因此不能保护您免受注入。它仅加密数据文件和数据日志。