sql-injection — все вопросы
8ответов
10 голосов
Безопасен ли этот запрос от внедрения SQL?
Скрипт на PHP и в качестве БД я использую MySQL. Вот сам скрипт.
$unsafe_variable = $_GET["user-input"];
$sql=sprintf("INSERT INTO table (column) VALUES('%s')",$unsafe_variable);
mysql_query($sql)
6ответов
12 голосов
Способы предотвращения атаки SQL Injection & XSS в веб-приложении Java
Я пишу Java-класс, который будет вызываться фильтром сервлетов и который проверяет попытки внедрения с помощью инъекций и XSS для веб-приложения Java на основе Struts. Класс InjectionAttackChecker и
3ответа
12 голосов
Внедрение SQL и Codeigniter
Некоторые сомнения относительно Codeigniter и его возможностей обработки ввода. Некоторые могут быть немного странными, но они, тем не менее, сомневаются.
Если я использую функции Active Record
10ответов
13 голосов
ColdFusion Security [закрыто]
Каковы оптимальные методы защиты веб-страницы Coldfusion от злоумышленников? (включая, но не ограничиваясь этим, SQL-инъекции)
Достаточно ли cfqueryparam?
4ответа
14 голосов
Как избежать строки в Ruby для защиты от SQL-инъекций? (Без рельсов)
Я просто хотел узнать, как мы можем избежать SQL-запроса (строки) в Ruby, чтобы предотвратить SQL-инъекцию. обратите внимание, я не использую Rails Framework.
Спасибо.
1ответ
14 голосов
rails 3 activerecord order - как обходится правильная инъекция sql?
Допустим, у меня есть страница со списком пользователей, и вы можете сортировать по разным столбцам, при нажатии на кнопку «электронная почта» она передаст sort_by = email sort_direction = asc или d
3ответа
17 голосов
Должен ли я использовать mysql_real_escape_string, если я связываю параметры?
У меня есть следующий код:
function dbPublish($status)
{
global $dbcon, $dbtable;
if(isset($_GET['itemId']))
{
$sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?';
$stmt = $d
1ответ
19 голосов
Обнаружение SQL-инъекций - скомпилировали регулярные выражения ... ищем тестовые инъекции
На выходных я составил список регулярных выражений для проверки SQL-инъекций в суперглобалах GET, POST и COOKIE. По общему мнению, они очень эффективны при обнаружении инъекции SQL. Я провел множест
3ответа
19 голосов
Путаница между подготовленным оператором и параметризованным запросом в Python
Насколько я понимаю, подготовленные операторы (в основном) - это функция базы данных, которая позволяет вам отделять параметры от кода, который использует такие параметры. Пример:
PREPARE fooplan
8ответов
19 голосов
Плохой код: почему это опасно? [Дубликат]
Возможный дубликат: Можно ли защитить от SQL-инъекций, избегая одинарных кавычек и окружающего пользовательского ввода одинарными кавычками?
String badInput = rawInput.replace("'","
7ответов
20 голосов
Могу ли я быть невосприимчивым к инъекциям SQL, если использую хранимые процедуры?
Скажем, в базе данных MySQL (если это имеет значение).
6ответов
23 голоса
Как я могу автоматически проверить свой сайт на наличие атак с использованием SQL-инъекций, используя скрипт или программу? [закрыто]
Я искал и нашел Хорошая дискуссия здесь на SO , но ей уже несколько лет.
Какие программы существуют или есть простой скрипт, который я могу запустить, чтобы найти дыры SQL-инъекций в URL-адресах
7ответов
27 голосов
Атака SQL-инъекции с помощью php
это часть задания для моего класса компьютерной безопасности, поэтому я не ищу конкретных ответов, просто помощь.
Нам дали неисправную программу (на php), которая контролирует базу данных sql (ба
1ответ
36 голосов
Как создать атаку SQL-инъекцией с помощью Shift-JIS и CP932?
Я пишу несколько модульных тестов, чтобы убедиться, что мой код не уязвим для SQL-инъекций под различными кодировками.
Согласно этому ответу , вы можете создать уязвимость, вставив \xbf\x27 с ис
12ответов
67 голосов
Может ли параметризованный оператор остановить все инъекции SQL?
Если да, почему все еще так много успешных SQL-инъекций? Просто потому, что некоторые разработчики слишком тупы, чтобы использовать параметризованные операторы?
28ответов
2780 голосов
Как я могу предотвратить внедрение SQL в PHP?
Если пользовательский ввод вставляется без изменения в SQL-запрос, приложение становится уязвимым для внедрения SQL , как в следующий пример:
$unsafe_variable = $_POST['user_input'];
mysql_que
2ответа
1 голос
Атаки с использованием SQL-инъекций. Как тестировать и защищать запросы Coldfusion?
Я использую Coldfusion 8 и SQL Server 2008.
Я строил несколько форм, которые вставляют данные в базу данных от внешних пользователей, у нас есть специальный модуль безопасности, созданный парнем,
1ответ
1 голос
Преобразование большой базы кода PHP из mysql_ в PDO [закрыто]
На моем рабочем месте скоро нам будет поручено удалить уязвимости SQL injection из большой базы кода. Изначально приложение было написано около 8 лет назад, и после нескольких лет болтов и дополните
4ответа
1 голос
Обработчик базы данных и предотвращение SQL-инъекций
Я написал класс модели database в PHP и написал класс контроллера, который специально проверяет данные перед отправкой на db , Я получаю критику, что я должен обрабатывать данные в классе database,
4ответа
6 голосов
Оставляет ли одиночные кавычки вокруг числовых констант действительно защищать от SQL-инъекции в MySQL?
В руководстве, по-видимому, предполагается, что использование котировок вокруг номеров является достаточным для защиты от SQL-инъекций.
В соответствии с разделом 5.3.1. Общие рекомендации по без