Запитання з тегом «sql-injection»

7
Вас наймають, щоб виправити невелику помилку на інтенсивному для безпеки веб-сайті. Дивлячись на код, він заповнений отворами в безпеці. Що ти робиш? [зачинено]
Мене хтось найняв на невелику роботу на сайті. Це сайт для великої компанії. Він містить дуже чутливі дані, тому безпека дуже важлива. Проаналізувавши код, я помітив, що він заповнений дірками в безпеці - читайте, багато PHP-файлів, які кидають користувачеві вхід / повідомлення безпосередньо в запити mysql та системні команди. Проблема …
14
Чому механізм запобігання ін'єкцій SQL еволюціонував у напрямку використання параметризованих запитів?
Як я це бачу, атаки ін'єкцій SQL можна запобігти: Ретельно перевіряйте, фільтруючи, кодуючи вхід (перед вставкою в SQL) Використання підготовлених операторів / параметризованих запитів Я гадаю, що у кожного є плюси і мінуси, але чому номер 2 зняв і став вважатися більш-менш фактичним способом запобігання ін'єкційним атакам? Це просто безпечніше …
3
Чи опора на параметризовані запити є єдиним способом захисту від введення SQL?
Все, що я бачив на ін'єкціях SQL-ін'єкцій, схоже, говорить про те, що параметризовані запити, особливо в збережених процедурах, є єдиним способом захисту від таких атак. Поки я працював (ще в темні століття) зберігаються процедури розглядалися як погана практика, головним чином тому, що вони розглядалися як менш рентабельні; менш випробуваний; сильно …
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.