«sql-injection» etiketlenmiş sorular

Bu sorunun cevapları bir toplum çabasıdır . Bu yayını iyileştirmek için mevcut yanıtları düzenleyin. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Daha fazla bilgi Yığın Taşması : PHP SQL-ин ?екций в PHP? Kullanıcı girişi bir SQL sorgusuna değişiklik yapılmadan eklenirse, uygulama aşağıdaki örnekte olduğu gibi SQL enjeksiyonuna karşı savunmasız …

2773 php  mysql  sql  security  sql-injection 

Bazı HTML etiketi türlerine izin verirken, SQL enjeksiyonu ve XSS saldırıları için kullanıcı girişini dezenfekte etmek için iyi çalışan bir kaçak işlevi var mı?

1124 php  security  xss  sql-injection  user-input 

Sadece bakıyor: (Kaynak: https://xkcd.com/327/ ) Bu SQL ne yapar: Robert'); DROP TABLE STUDENTS; -- İkisini de biliyorum 've --yorumlar için, ama DROPaynı satırın bir parçası olduğu için kelime de yorum almıyor musunuz?

1093 security  validation  sql-injection 

Diyelim ki böyle bir kod var: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDO belgeleri şunları söylüyor: Hazırlanan ifadelerin parametrelerinin alıntılanması gerekmez; sürücü sizin için halleder. SQL enjeksiyonlarından kaçınmak için tek yapmam gereken bu mu? Gerçekten bu kadar …

661 php  security  pdo  sql-injection 

mysql_real_escape_string()Fonksiyonu kullanırken bile bir SQL enjeksiyon olasılığı var mı ? Bu örnek durumu ele alalım. SQL PHP'de şu şekilde oluşturulmuştur: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Çok sayıda insanın bana böyle bir kodun hala tehlikeli ve mysql_real_escape_string()kullanılan işlevle bile kesmek …

645 php  mysql  sql  security  sql-injection 

Hazırlanan ifadeler SQL enjeksiyon saldırılarını önlememize nasıl yardımcı olur ? Wikipedia diyor ki: Hazırlanan ifadeler SQL enjeksiyonuna karşı dayanıklıdır, çünkü daha sonra farklı bir protokol kullanılarak iletilen parametre değerlerinin doğru bir şekilde kaçmasına gerek yoktur. Özgün ifade şablonu harici girdiden türetilmemişse, SQL yerleştirme yapılamaz. Sebebini çok iyi göremiyorum. Kolay İngilizce …

172 sql  security  sql-injection  prepared-statement 

Java'da bazı anti sql enjeksiyonu yerleştirmeye çalışıyorum ve "replaceAll" dizge işlevi ile çalışmayı çok zor buluyorum. Sonuçta ben mevcut herhangi dönüştürür bir işlev gerekir \için \\herhangi "üzere \", herhangi 'etmek \'ve herhangi \netmek \\nböylece dize MySQL SQL enjeksiyonu tarafından değerlendirilir zaman olduğu engellenecektir. Üzerinde çalıştığım bazı kodları aradım ve tüm …

146 java  sql  regex  escaping  sql-injection 

Parametreli SQL sorgularının, kullanıcı girdisi içeren sorguları oluştururken kullanıcı girişini sterilize etmenin en iyi yolu olduğunu anlıyorum, ancak kullanıcı girdisi alarak ve tek tırnaklardan kaçarak ve tüm dizeyi tek tırnaklarla çevreleyende neyin yanlış olduğunu merak ediyorum. İşte kod: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" Kullanıcının girdiği herhangi …

140 sql  security  sql-server-2000  sql-injection  sanitization 

PreparedStatements'ın SQL Injection'ı engellediğini / engellediğini biliyorum. Bunu nasıl yapıyor? PreparedStatements kullanılarak oluşturulan son form sorgusu bir dize mi olacak yoksa başka bir şekilde mi olacak?

122 java  sql  jdbc  prepared-statement  sql-injection 

Bugün erken saatlerde , web uygulamalarındaki giriş doğrulama stratejileriyle ilgili bir soru soruldu . En iyi cevap, yazarken, PHPsadece htmlspecialcharsve kullanımını önerir mysql_real_escape_string. Sorum şu: Bu her zaman yeterli mi? Bilmemiz gereken daha fazla var mı? Bu işlevler nerede bozulur?

116 php  security  xss  sql-injection 

Veritabanları ile çalışma konusunda çok yeniyim. Şimdi yazabilir SELECT, UPDATE, DELETE, ve INSERTkomutları. Ancak yazmayı tercih ettiğimiz birçok forum gördüm: SELECT empSalary from employee where salary = @salary ...onun yerine: SELECT empSalary from employee where salary = txtSalary.Text Neden her zaman parametreleri kullanmayı tercih ediyoruz ve bunları nasıl kullanacağım? İlk …

114 sql  sql-server  sql-injection 

SQL enjeksiyonu açısından, bir stringparametreyi parametreleştirmenin gerekliliğini tamamen anlıyorum ; bu, kitaptaki en eski numaralardan biridir. Ama ne zaman için haklı olabilir değil bir parameterize SqlCommand? Herhangi bir veri türü parametreleştirmemek için "güvenli" kabul ediliyor mu? Örneğin: Kendimi bir SQL uzmanının yakınında görmüyorum , ancak bir boolveya intbir'yi kabul edip …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

Burada, kodumuzda parametrize sql sorgularının kullanılmasıyla ilgili başka bir tartışma yapıyoruz. Tartışmada iki tarafımız var: Ben ve diğerleri, sql enjeksiyonlarına karşı koruma sağlamak için her zaman parametreleri kullanmamız gerektiğini söyleyenler ve gerekli olmadığını düşünen diğer kişiler. Bunun yerine, sql enjeksiyonlarını önlemek için tek kesme işaretini tüm dizelerde iki kesme işaretiyle …

109 c#  asp.net  sql-server  sql-injection 

Temelde SQL enjeksiyonu olasılığı nedeniyle, bir formdan gelen kullanıcı girişine ASLA güvenmemeniz gerektiğini anlıyorum. Bununla birlikte, bu aynı zamanda tek girişin bir açılır menüden (aşağıya bakın) olduğu bir form için de geçerli midir? Bunu $_POST['size']daha sonra site genelinde çeşitli veritabanlarını sorgulamak için (bir mysqliSeçim sorgusuyla) kullanılan bir Oturuma kaydediyorum ve …

97 php  mysql  mysqli  sql-injection 

Node.js'de (tercihen bir modülle) SQL enjeksiyonlarını, PHP'nin bunlara karşı korunan Hazırlanmış İfadeler yaptığı gibi önlemek mümkün müdür? Öyleyse nasıl? Değilse, verdiğim kodu atlayabilecek bazı örnekler nelerdir (aşağıya bakın). Bazı Bağlamlar: Node-mysql modülünü kullanarak Node.js + MySql'den oluşan arka uç yığınına sahip bir web uygulaması yapıyorum . Kullanılabilirlik açısından, modül harika, …

88 javascript  mysql  node.js  sql-injection  node-mysql