¿Es cierto que los procedimientos almacenados evitan ataques de inyección SQL contra bases de datos PostgreSQL? Investigué un poco y descubrí que SQL Server, Oracle y MySQL no están seguros contra la inyección de SQL, incluso si solo utilizamos procedimientos almacenados. Sin embargo, este problema...
En Postgres, ¿las consultas preparadas y las funciones definidas por el usuario son equivalentes como un mecanismo para protegerse contra la inyección de SQL ? ¿Hay ventajas particulares en un enfoque sobre el
Estoy en MySQL 5.5.21 e intento insertar el carácter de carita sonriente '\ xF0 \ x9F \ x98 \ x8A'. Pero por mi vida, no puedo entender cómo hacerlo. De acuerdo con varios foros que he estado leyendo, es posible. Pero cada vez que lo intento, los datos simplemente se truncan. mysql> INSERT...
Hice el siguiente procedimiento almacenado: ALTER PROCEDURE usp_actorBirthdays (@nameString nvarchar(100), @actorgender nvarchar(100)) AS SELECT ActorDOB, ActorName FROM tblActor WHERE ActorName LIKE '%' + @nameString + '%' AND ActorGender = @actorgender Ahora, intenté hacer algo como esto. Tal...
Escuché que uno dijo que no desea utilizar Dynamic SQL. ¿Puedes dar algún ejemplo concreto o un ejemplo de la vida real? Personalmente, lo codifico algunas veces en mi base de datos. Creo que está bien porque es flexibilidad. Mi suposición es acerca de la inyección o el rendimiento de SQL. ¿Algo...
Estoy probando una aplicación basada en Oracle y encontré el siguiente código: Consulta = "SELECCIONE el nombre DE los empleados DONDE id = '" + PKID + "';" es decir, la cadena de consulta contiene comillas alrededor del valor PKID que se obtiene directamente de la URL. Obviamente, esta es una...
¿Cuál es el método de SQL Server para identificar identificadores de forma segura para la generación dinámica de SQL? MySQL tiene quote_identifier PostgreSQL tiene quote_ident ¿Cómo me aseguro de que, dado un nombre de columna generado dinámicamente para una declaración generada dinámicamente,...
Estaba viendo un procedimiento almacenado antiguo hoy y noté que estaba usando quotenamelos parámetros de entrada. Después de investigar un poco para descubrir qué hace exactamente, me encontré con este sitio . Ahora entiendo lo que hace y cómo usarlo, pero el sitio dice que se usa como mitigación...
Veo código de desarrolladores que usan conversión de fecha implícita. Me gustaría una respuesta definitiva a por qué no deberían hacer esto. SELECT * from dba_objects WHERE Created >=