sql-injection — все вопросы
2ответа
4 голоса
Как генерировать строки, которые не уязвимы для SQL-инъекций
У меня есть утилита, которая генерирует строки запроса, но статические анализаторы кода (и мои коллеги) жалуются из-за риска «атаки с использованием SQL-инъекций» .
Вот мой код на C #
publ
4ответа
4 голоса
Динамический SQL - поисковый запрос - переменное количество ключевых слов
Мы пытаемся обновить наш классический поисковый движок asp, чтобы защитить его от внедрения SQL. У нас есть функция VB 6, которая динамически создает запрос, объединяя запрос на основе различных пар
2ответа
4 голоса
ASP.NET /C # Эквивалент Microsoft Source Code Analyzer для SQL-инъекций (MSSCASI_ASP)?
Анализатор исходного кода Microsoft для SQL-инъекций (MSSCASI_ASP) - это статический анализатор кода для классического ASP VBScript код, который может помочь определить страницы, которые могут име
6ответов
4 голоса
Безопасное использование подготовленных операторов для запроса базы данных
Я пытаюсь написать функцию, которая универсальная в запросах, которые ей разрешено делать, но также защищенная от внедрения . Приведенный ниже код выдает ошибку как есть, но если я запускаю е
2ответа
4 голоса
ASP Classic - объект набора записей и объект команды
Я использую ASP Classic и SQL Server 2000 для создания динамических веб-сайтов.
Меня немного смущает вопрос, когда использовать объект набора записей и когда использовать объект команды при запро
6ответов
4 голоса
Как экранируются строки для каждого расширения базы данных в php?
Прежде чем кто-либо придет к выводам относительно характера этого вопроса, я уже знаю о заголовке параметризованные /подготовленные операторы и используйте их по мере возможности. К сожалению, не
1ответ
4 голоса
log4net войти в базу данных… открыть для инъекций SQL
Есть ли общепринятый способ использования поставщика ad4 log4net и защиты от внедрения SQL? Я могу делать свои собственные методы очистки, но это кажется мне рискованным.
Есть ли какая-то "DontLe
6ответов
4 голоса
Является ли умножение на 1 безопасным способом очистки числовых значений от SQL-инъекций?
Мне интересно, если у меня есть значение, которое, как я знаю, должно быть числовым, умножает ли его на 1 безопасный метод для его очистки?
function x($p1){
$p1*=1;
sql="select * from t wher
1ответ
4 голоса
Константы PostgreSQL, заключенные в кавычки, для предотвращения внедрения SQL
Могу ли я безопасно предотвратить SQL-инъекцию, используя строковые константы PostgreSQL в кавычках?
Я знаю, что лучше всего обрабатывать динамические запросы - это создавать их на прикладном уро
4ответа
4 голоса
sqlmap слишком медленный
Вот пример. Просто пытаюсь перечислить базы данных:
python sqlmap.py -u "http://somesite.com/?id=1" --dbs
[15:20:32] [INFO] fetching database names
[15:20:32] [INFO] fetching number of database
2ответа
4 голоса
Переключение операторов вставки и обновления mySQL в подготовленные операторы PDO для предотвращения внедрения SQL
Я пытаюсь переключить эти операторы mySQl INSERT INTO и Update на подготовленные операторы PDO (прежде всего для предотвращения SQL-инъекций), но у меня возникают некоторые трудности с правильным си
3ответа
4 голоса
Зачем нам нужно указывать тип параметра в bindParam ()?
Я немного запутался, почему нам нужно указывать тип данных, которые мы передаем в функцию bindParam () в PDO в Php Например этот запрос:
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare(
2ответа
4 голоса
SQL-инъекция - что еще? [Дубликат]
На этот вопрос уже есть ответ здесь:
Как исправить код состояния сервера : 302 Найдено с помощью SQL Inject Me Firefox Addon
4 отв
3ответа
4 голоса
Активный Android это склонный к SQL-инъекциям. Любое известное решение?
Android-приложение уже разработано с использованием ActiveAndroid
public static List<ModelNames> search(String pattern) {
return new Select().from(ModelNames.class)
.where("t
android
3ответа
4 голоса
Не совсем понимаю SQL-инъекцию
Я много читал о внедрении sql и понимаю, как это может вызвать проблемы (например, DROP TABLE _ _ и т. д.). Но я не уверен, как учебники, которым я следовал, на самом деле предотвращают это. Я тол
3ответа
4 голоса
Безопасно ли использовать функции mysql_ *, если PDO и mysqli недоступны?
У меня есть веб-сайт, размещенный на общем хостинге.
У них установлен php 5.2.13.
Я знаю уязвимости SQL-инъекций и хочу их предотвратить.
Поэтому я хочу использовать PDO или mysqli для предотв
2ответа
4 голоса
Rails-методы уязвимы для SQL-инъекций?
Какие методы Rails уязвимы для внедрения SQL и в какой форме?
Например, я знаю, что where со строковым аргументом уязвим:
Model.where("name = #{params[:name}") # unsafe
Но параметризованная
2ответа
4 голоса
Когда я должен использовать функцию PHP mysqli_real_escape_string ()? [Дубликат]
На этот вопрос уже есть ответ здесь:
Как предотвратить внедрение SQL в PHP?
28 ответов
Я знаю
1ответ
4 голоса
Смущает, когда MySQL код защищен от инъекций с использованием PDO
Я понимаю основную идею того, как операторы mysql могут быть уязвимы, но каждый раз, когда я пытаюсь найти полезное руководство, способы достижения этого с помощью PDO выглядят по-разному.Кроме того,
2ответа
4 голоса
Привязка переменных в PHP ADOdb
ADOdb выполняет очистку данных или экранирование в той же функциональности по умолчанию?Или я просто путаю его со встроенными процессами Code Igniter?Связывает ли переменные с параметрами в ADOdb для