键或哈希可以触发注射攻击吗？

Question

可以（故意或意外地）产生的哈希或键会引发注射攻击吗？例如，如果将哈希或密钥作为select％0D*％0dfrom％0DWhere产生，这是否会引起注射攻击？我知道当前的技术和标准，任何体面的保护都会防止包括所有投入，哈希和钥匙，因此几乎肯定不会影响现实中的任何系统。

是的，我被告知这是此类问题的错误位置。是的，我现在知道下次将其放在哪里。

Answer 1

从理论上讲，我认为哈希函数的结果可能会导致特定的字节顺序恰好是SQL语法，当用作原始二进制字节时，或者如果在可打印的ASCII字符范围内编码（通过值0x20，则通过0x7f）。

但是，提出一个输入字符串是一项很难的任务，该输入字符串在哈希时产生了确切的结果。

哈希功能的结果始终是固定的，具体取决于哈希算法和选项。因此，您需要牢记适合该固定长度的攻击查询，然后您需要找到精确到该字符串的输入。

另外，防御这种攻击的方法与针对任何其他SQL注入攻击的防御相同：使用查询参数。任何不安全的内容，无论是否是哈希功能的结果，如果将SQL注入与SQL语法分开，则能够实现它。

我认为还有其他攻击方式将更容易，更有效。社会黑客攻击仍然是最通用的攻击手段，几乎可以解决任何安全辩护。