sql-injection
Jak mogę zapobiec SQL injection w PHP?
odpowiedzi na to pytanie są wysiłkiem społeczności. Edytuj istniejące odpowiedzi, aby poprawić ten post. Obecnie nie przyjmu ... anie staje się:
INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')
Co można zrobić, aby temu zapobiec?
Jak mogę dezynfekować wejście użytkownika za pomocą PHP?
Czy istnieje gdzieś funkcja catchall, która działa dobrze do dezynfekcji danych wejściowych użytkownika dla ataków SQL injection i XSS, jednocześnie zezwalając na pewne typy znaczników HTML?
Czy deklaracje PDO prepared są wystarczające, aby zapobiec SQL injection?
Powiedzmy, że mam taki kod:
$dbh = new PDO("blahblah");
$stmt = $dbh->prepare('SELECT * FROM users where username = :us ... i mnie tylko użycie gotowych wyrażeń przeciwko SQL injection. W tym kontekście, nie obchodzi mnie XSS lub inne możliwe luki.
Jak działa SQL injection z komiksu" Bobby Tables " XKCD?
Właśnie patrzę:
(Źródło: https://xkcd.com/327/)
Do czego służy ten SQL:
Robert'); DROP TABLE STUDENTS; --
Wiem, że zarówno ' jak i {[2] } są dla komentarzy, ale czy słowo DROP nie jest komentowane, ponieważ jest częścią tej samej linii?
SQL injection, który krąży wokół mysql real escape string()
Czy istnieje możliwość SQL injection nawet przy użyciu funkcji mysql_real_escape_string()?
Rozważ tę przykładową sytuację. S ... aa' OR 1=1 --
Nie działa.
Czy wiesz o jakimkolwiek możliwym zastrzyku, który mógłby przedostać się przez powyższy kod PHP?
Czy htmlspecialchars i mysql real escape string chroni mój kod PHP przed wstrzyknięciem?
Wcześniej zadano pytanie dotyczące strategii walidacji danych wejściowych w aplikacjach internetowych .
Najlepsza odpowiedź ... eal_escape_string.
Moje pytanie brzmi: czy to zawsze wystarczy? Powinniśmy wiedzieć więcej? Gdzie te funkcje się rozpadają?
Jak przygotowane instrukcje mogą chronić przed atakami SQL injection?
Jak prepared statements pomagają nam zapobiegać atakom SQL injection ?
Wikipedia mówi:
Przygotowane instrukcje są odpo ... e
występuje.
Nie widzę powodu bardzo dobrze. Co byłoby prostym wyjaśnienie w łatwym języku angielskim i kilka przykładów?
Java-escape string, aby zapobiec SQL injection
Próbuję wprowadzić trochę anty SQL injection w Javie i bardzo trudno mi pracować z funkcją" replaceAll " string. Ostatecznie ... \\\\\\\ w funkcji sprawiają, że moje oczy wariują. Jeśli ktoś tak się składa, że mam na to przykład, byłbym bardzo wdzięczny.
Najwyższa funkcja czystości/bezpieczeństwa
Mam wiele wejść użytkownika z $_GET i $_POST... W tej chwili zawsze piszę mysql_real_escape_string($_GET['var'])..
Chciałbym ... ialchars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;
}
CSRF, XSS i SQL Injection Attack prevention w JSF
Mam aplikację internetową zbudowaną na JSF z MySQL jako DB. Zaimplementowałem już kod, aby zapobiec CSRF w mojej aplikacji.
... tym 3 częstym atakom?
Przejrzałem już stronę OWASP i ich ściągi .
Czy muszę zająć się innymi potencjalnymi wektorami ataku?
Narzędzia do testów penetracyjnych [zamknięte]
Mamy setki stron internetowych, które zostały opracowane w asp,. net i java i płacimy dużo pieniędzy za zewnętrzną agencję, a ... (płatne lub Bezpłatne), aby to zrobić?
Lub.. czy są jakieś artykuły techniczne, które mogą pomóc mi rozwinąć to narzędzie?
Czy mogę chronić się przed SQL Injection poprzez unikanie pojedynczych cudzysłowów i otaczających danych wejściowych użytkownika za pomocą pojedynczych cudzysłowów?
Zdaję sobie sprawę, że parametryzowane zapytania SQL to optymalny sposób na dezynfekcję danych wejściowych użytkownika podcza ... ktoś zna jakieś specyficzny sposób zamontowania ataku SQL injection przeciwko tej metodzie sanityzacji chciałbym go zobaczyć.
Jak PreparedStatement uniknąć lub zapobiec SQL injection?
Wiem, że PreparedStatements uniknąć / zapobiec SQL Injection. Jak to robi? Czy ostateczne zapytanie formularza, które jest konstruowane przy użyciu PreparedStatements będzie ciągiem znaków lub w inny sposób?
Unikanie SQL injection bez parametrów
W pracy prowadzimy kolejną dyskusję na temat używania parametryzowanych zapytań sql w naszym kodzie. Mamy dwie strony w dysku ... czas gdy nikt nie był w stanie złamać proste zabezpieczenie funkcji SafeDBString mam wiele innych dobrych argumentów. Dzięki!
Czy parametry naprawdę wystarczą, aby zapobiec zastrzykom Sql?
Głosiłem zarówno moim kolegom, jak i tutaj na temat dobroci korzystania z parametrów w zapytaniach SQL, szczególnie w aplikac ...
Robimy to:
SELECT * FROM Table WHERE Name = @Name
A następnie ustaw wartość parametru @Name w obiekcie query / command.
Czy muszę chronić się przed SQL injection, jeśli użyłem rozwijanego menu?
Rozumiem, że nigdy nie należy ufać wejściom użytkownika z formularza, głównie ze względu na szansę na SQL injection.
Jednak ... </option>
<option value="Small">Small</option>
</select>
<input type="submit">
</form>
Dlaczego zawsze preferujemy używanie parametrów w poleceniach SQL?
Jestem nowy w pracy z bazami danych. Teraz mogę pisać SELECT, UPDATE, DELETE, i INSERT komendy. Ale widziałem wiele forów, na ... yszałem nawet o SQL injection, ale nie do końca go Rozumiem. Nawet nie wiem, czy SQL injection jest związane z moim pytaniem.
Czy CodeIgniter automatycznie zapobiega SQL injection?
Właśnie odziedziczyłem projekt, ponieważ ostatni deweloper odszedł. Projekt jest zbudowany na bazie Code Igniter. Nigdy wc ... s->input->post('username')."'");
Czy code igniter automatycznie dezynfekuje te zapytania, aby zapobiec SQL injection?
Co ten haker próbuje zrobić?
Jeśli szukasz:
Http://www.google.co.uk/search?q=0x57414954464F522044454C4159202730303A30303A313527&hl=en&start=30&a ... 044454C4159202730303A30303A313527 exec(@q) --
Co dokładnie próbuje zrobić? Na którym db próbuje pracować?
Wiesz coś o tym?
Najlepsza praktyka Pythona i najbezpieczniejsza do łączenia się z MySQL i wykonywania zapytań
Jaki jest najbezpieczniejszy sposób uruchamiania zapytań w mysql, zdaję sobie sprawę z zagrożeń związanych z MySQL i SQL inje ... powinienem używać go do bezpiecznych zapytań i wstawiania w bazie danych MySQL przez python bez ryzykowania mysql zastrzyk?