Запитання з тегом «sql-injection»

Відповіді на це запитання - це зусилля громади . Відредагуйте наявні відповіді, щоб покращити цю публікацію. Наразі не приймає нових відповідей чи взаємодій. На цей питання є відповіді на Stack Overflow на російському : Чим просто уникати SQL-ін'єкцій у PHP? Якщо введення користувача вставляється без змін у запит SQL, програма …

2773 php  mysql  sql  security  sql-injection 

Чи є десь функція catchall, яка добре працює для санітарії введення користувача для ін'єкцій SQL та атак XSS, одночасно дозволяючи певні типи тегів HTML?

1124 php  security  xss  sql-injection  user-input 

Просто дивлячись: (Джерело: https://xkcd.com/327/ ) Що робить цей SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю і те, 'і --для коментарів, але чи не DROPкоментується також слово , оскільки воно є частиною того ж рядка?

1093 security  validation  sql-injection 

Скажімо, у мене такий код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документація PDO говорить: Параметри підготовлених висловлювань не потрібно цитувати; водій обробляє це за вас. Це справді все, що мені потрібно зробити, щоб уникнути ін'єкцій SQL? Невже …

661 php  security  pdo  sql-injection 

Чи існує можливість ін'єкції SQL навіть при використанні mysql_real_escape_string()функції? Розглянемо цю вибіркову ситуацію. SQL побудований у PHP так: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я чув, як численні люди говорять мені, що такий код все ще небезпечний і його можна …

645 php  mysql  sql  security  sql-injection 

Як підготовлені заяви допомагають нам запобігти атакам ін'єкції SQL ? У Вікіпедії сказано: Підготовлені оператори стійкі до введення SQL, тому що значення параметрів, які передаються пізніше за допомогою іншого протоколу, не повинні бути правильними. Якщо оригінальний шаблон заяви не отриманий із зовнішнього введення, ін'єкція SQL не може відбутися. Я не …

172 sql  security  sql-injection  prepared-statement 

Я намагаюся поставити на Java якусь ін'єкцію anti sql, і мені дуже важко працювати з рядковою функцією "zamjenji". В кінцевому рахунку я потрібна функція , яка буде перетворювати будь-які існуючі \в \\будь-який "для \"будь-якого 'до \', і будь-який , \nщоб \\nтаким чином , що , коли рядок обчислюється з допомогою …

146 java  sql  regex  escaping  sql-injection 

Я усвідомлюю, що параметризовані SQL-запити є оптимальним способом оздоровити введення користувачів під час створення запитів, що містять введення користувача, але мені цікаво, що не так у прийнятті вводу користувача та уникненні будь-яких єдиних лапок та оточення цілої рядки одинарними лапками. Ось код: sSanitizedInput = "'" & Replace(sInput, "'", "''") & …

139 sql  security  sql-server-2000  sql-injection  sanitization 

Я знаю, що PreparedStatements уникають / запобігають ін'єкції SQL. Як це робити? Чи буде запит остаточної форми, побудований за допомогою PreparedStatements, рядок чи іншим чином?

122 java  sql  jdbc  prepared-statement  sql-injection 

Раніше сьогодні було задано питання щодо стратегій перевірки вводу даних у веб-додатках . Найвища відповідь, під час написання, пропонує PHPпросто використовувати htmlspecialcharsта mysql_real_escape_string. Моє запитання: чи цього завжди достатньо? Чи є більше, що ми повинні знати? Де розбиваються ці функції?

116 php  security  xss  sql-injection 

Я дуже новачок у роботі з базами даних. Тепер я можу написати SELECT, UPDATE, DELETEі INSERTкоманду. Але я бачив багато форумів, де ми вважаємо за краще писати: SELECT empSalary from employee where salary = @salary ...замість: SELECT empSalary from employee where salary = txtSalary.Text Чому ми завжди вважаємо за краще …

114 sql  sql-server  sql-injection 

З точки зору інжекції SQL я повністю розумію необхідність параметризації stringпараметра; це один із найдавніших трюків у книзі. Але коли можна виправдати не параметризувати SqlCommand? Чи вважаються якісь типи даних "безпечними", щоб не параметризувати їх? Наприклад: я не вважаю себе ніде поблизу фахівця з SQL, але не можу придумати жодних …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

У нас тут ще одна дискусія на роботі щодо використання параметризованих запитів sql у нашому коді. У дискусії у нас є дві сторони: я та деякі інші, які кажуть, що ми завжди повинні використовувати параметри для захисту від sql ін'єкцій та інших хлопців, які не вважають це за потрібне. Натомість …

109 c#  asp.net  sql-server  sql-injection 

Я розумію, що НІКОЛИ не слід довіряти введенню користувачем форми, головним чином через можливість введення SQL. Однак, чи стосується це також форми, де єдиним входом є спадне меню (див. Нижче)? Я зберігаю $_POST['size']файл у сеансі, який потім використовується на всьому сайті для запитів до різних баз даних (із mysqliзапитом Select), …

96 php  mysql  mysqli  sql-injection 

Чи можна запобігти ін'єкціям SQL в Node.js (бажано за допомогою модуля) так само, як PHP підготував заяви, які захищали від них. Якщо так, то як? Якщо ні, то які приклади можуть обійти код, який я надав (див. Нижче). Деякий контекст: Я роблю веб-додаток із внутрішнім стеком, що складається з Node.js …

86 javascript  mysql  node.js  sql-injection  node-mysql