Запитання з тегом «sql-injection»

Введення SQL - це техніка введення коду, яка використовується для атаки на керовані даними додатки, при якій шкідливі оператори SQL вставляються в поле введення для виконання (наприклад, для скидання вмісту бази даних до зловмисника).

28
Як я можу запобігти ін'єкції SQL у PHP?
Відповіді на це запитання - це зусилля громади . Відредагуйте наявні відповіді, щоб покращити цю публікацію. Наразі не приймає нових відповідей чи взаємодій. На цей питання є відповіді на Stack Overflow на російському : Чим просто уникати SQL-ін'єкцій у PHP? Якщо введення користувача вставляється без змін у запит SQL, програма …



7
Чи готові заяви PDO, щоб запобігти введенню SQL?
Скажімо, у мене такий код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документація PDO говорить: Параметри підготовлених висловлювань не потрібно цитувати; водій обробляє це за вас. Це справді все, що мені потрібно зробити, щоб уникнути ін'єкцій SQL? Невже …

4
Інжекція SQL, яка охоплює mysql_real_escape_string ()
Чи існує можливість ін'єкції SQL навіть при використанні mysql_real_escape_string()функції? Розглянемо цю вибіркову ситуацію. SQL побудований у PHP так: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я чув, як численні люди говорять мені, що такий код все ще небезпечний і його можна …

9
Як підготовлені заяви захищають від атак на ін'єкції SQL?
Як підготовлені заяви допомагають нам запобігти атакам ін'єкції SQL ? У Вікіпедії сказано: Підготовлені оператори стійкі до введення SQL, тому що значення параметрів, які передаються пізніше за допомогою іншого протоколу, не повинні бути правильними. Якщо оригінальний шаблон заяви не отриманий із зовнішнього введення, ін'єкція SQL не може відбутися. Я не …

12
Java - рядок втечі для запобігання ін'єкції SQL
Я намагаюся поставити на Java якусь ін'єкцію anti sql, і мені дуже важко працювати з рядковою функцією "zamjenji". В кінцевому рахунку я потрібна функція , яка буде перетворювати будь-які існуючі \в \\будь-який "для \"будь-якого 'до \', і будь-який , \nщоб \\nтаким чином , що , коли рядок обчислюється з допомогою …

18
Чи можу я захиститись від інжекцій SQL, уникаючи одноцитатних та оточуючих введення користувачем за допомогою одних лапок?
Я усвідомлюю, що параметризовані SQL-запити є оптимальним способом оздоровити введення користувачів під час створення запитів, що містять введення користувача, але мені цікаво, що не так у прийнятті вводу користувача та уникненні будь-яких єдиних лапок та оточення цілої рядки одинарними лапками. Ось код: sSanitizedInput = "'" & Replace(sInput, "'", "''") & …


6
Чи захищають htmlspecialchars та mysql_real_escape_string мій PHP-код від введення?
Раніше сьогодні було задано питання щодо стратегій перевірки вводу даних у веб-додатках . Найвища відповідь, під час написання, пропонує PHPпросто використовувати htmlspecialcharsта mysql_real_escape_string. Моє запитання: чи цього завжди достатньо? Чи є більше, що ми повинні знати? Де розбиваються ці функції?

7
Чому ми завжди вважаємо за краще використовувати параметри в операторах SQL?
Я дуже новачок у роботі з базами даних. Тепер я можу написати SELECT, UPDATE, DELETEі INSERTкоманду. Але я бачив багато форумів, де ми вважаємо за краще писати: SELECT empSalary from employee where salary = @salary ...замість: SELECT empSalary from employee where salary = txtSalary.Text Чому ми завжди вважаємо за краще …

12
Чи безпечно не параметризувати SQL-запит, коли параметр не є рядком?
З точки зору інжекції SQL я повністю розумію необхідність параметризації stringпараметра; це один із найдавніших трюків у книзі. Але коли можна виправдати не параметризувати SqlCommand? Чи вважаються якісь типи даних "безпечними", щоб не параметризувати їх? Наприклад: я не вважаю себе ніде поблизу фахівця з SQL, але не можу придумати жодних …

21
Уникання введення SQL без параметрів
У нас тут ще одна дискусія на роботі щодо використання параметризованих запитів sql у нашому коді. У дискусії у нас є дві сторони: я та деякі інші, які кажуть, що ми завжди повинні використовувати параметри для захисту від sql ін'єкцій та інших хлопців, які не вважають це за потрібне. Натомість …

11
Чи потрібно захищатись від введення SQL, якщо я використовував випадаючий список?
Я розумію, що НІКОЛИ не слід довіряти введенню користувачем форми, головним чином через можливість введення SQL. Однак, чи стосується це також форми, де єдиним входом є спадне меню (див. Нижче)? Я зберігаю $_POST['size']файл у сеансі, який потім використовується на всьому сайті для запитів до різних баз даних (із mysqliзапитом Select), …

5
Запобігання ін’єкції SQL у Node.js
Чи можна запобігти ін'єкціям SQL в Node.js (бажано за допомогою модуля) так само, як PHP підготував заяви, які захищали від них. Якщо так, то як? Якщо ні, то які приклади можуть обійти код, який я надав (див. Нижче). Деякий контекст: Я роблю веб-додаток із внутрішнім стеком, що складається з Node.js …

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.