Câu hỏi được gắn thẻ «sql-injection»

Câu trả lời của câu hỏi này là một nỗ lực của cộng đồng . Chỉnh sửa câu trả lời hiện có để cải thiện bài này. Nó hiện không chấp nhận câu trả lời hoặc tương tác mới. На этот вопрос есть ответы на Stack Overflow на русском : …

2773 php  mysql  sql  security  sql-injection 

Có một chức năng bắt ở đâu đó hoạt động tốt để vệ sinh đầu vào của người dùng cho các cuộc tấn công SQL và XSS, trong khi vẫn cho phép một số loại thẻ HTML nhất định không?

1124 php  security  xss  sql-injection  user-input 

Chỉ cần nhìn vào: (Nguồn: https://xkcd.com/327/ ) SQL này làm gì: Robert'); DROP TABLE STUDENTS; -- Tôi biết cả hai 'và --là cho ý kiến, nhưng không phải từ này cũng DROPđược nhận xét vì nó là một phần của cùng một dòng?

1093 security  validation  sql-injection 

Hãy nói rằng tôi có mã như thế này: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Tài liệu PDO nói: Các tham số cho các báo cáo được chuẩn bị không cần phải được trích dẫn; Trình điều …

661 php  security  pdo  sql-injection 

Có khả năng tiêm SQL ngay cả khi sử dụng mysql_real_escape_string()hàm không? Xem xét tình huống mẫu này. SQL được xây dựng trong PHP như thế này: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Tôi đã nghe nhiều người nói với …

644 php  mysql  sql  security  sql-injection 

Làm thế nào để các câu lệnh được chuẩn bị giúp chúng tôi ngăn chặn các cuộc tấn công tiêm nhiễm SQL ? Wikipedia nói: Các câu lệnh được chuẩn bị có khả năng phục hồi chống lại việc tiêm SQL, bởi vì các giá trị tham số, được truyền …

172 sql  security  sql-injection  prepared-statement 

Tôi đang cố gắng đưa một số tính năng chống sql vào vị trí trong java và tôi thấy rất khó để làm việc với hàm chuỗi "thay thế". Cuối cùng, tôi cần một chức năng mà sẽ chuyển đổi bất kỳ hiện \để \\, bất kỳ "để \", bất …

146 java  sql  regex  escaping  sql-injection 

Tôi nhận ra rằng các truy vấn SQL được tham số hóa là cách tối ưu để vệ sinh đầu vào của người dùng khi xây dựng các truy vấn có chứa đầu vào của người dùng, nhưng tôi tự hỏi có gì sai khi lấy đầu vào của người …

139 sql  security  sql-server-2000  sql-injection  sanitization 

Tôi biết rằng PreparedStatements tránh / ngăn chặn SQL Injection. sao làm được vậy? Truy vấn biểu mẫu cuối cùng được tạo bằng PreparedStatements sẽ là một chuỗi hay cách khác?

122 java  sql  jdbc  prepared-statement  sql-injection 

Đầu ngày hôm nay, một câu hỏi đã được đặt ra về các chiến lược xác thực đầu vào trong các ứng dụng web . Câu trả lời hàng đầu, tại thời điểm viết bài, gợi ý PHPchỉ bằng cách sử dụng htmlspecialcharsvà mysql_real_escape_string. Câu hỏi của tôi là: Điều …

116 php  security  xss  sql-injection 

Tôi rất mới làm việc với cơ sở dữ liệu. Bây giờ tôi có thể viết SELECT, UPDATE, DELETE, và INSERTcác lệnh. Nhưng tôi đã thấy nhiều diễn đàn nơi chúng tôi thích viết: SELECT empSalary from employee where salary = @salary ...thay vì: SELECT empSalary from employee where salary …

114 sql  sql-server  sql-injection 

Về SQL injection , tôi hoàn toàn hiểu sự cần thiết phải tham số hóa một stringtham số; đó là một trong những thủ thuật lâu đời nhất trong cuốn sách. Nhưng khi nào thì có thể biện minh cho việc không tham số hóa an SqlCommand? Có bất kỳ …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

Chúng tôi đang có một cuộc thảo luận khác ở đây về việc sử dụng các truy vấn sql được tham số hóa trong mã của chúng tôi. Chúng tôi có hai mặt trong cuộc thảo luận: Tôi và một số người khác nói rằng chúng ta nên luôn sử …

109 c#  asp.net  sql-server  sql-injection 

Tôi hiểu rằng bạn KHÔNG BAO GIỜ nên tin tưởng đầu vào của người dùng từ một biểu mẫu, chủ yếu là do cơ hội đưa vào SQL. Tuy nhiên, điều này có áp dụng cho biểu mẫu mà đầu vào duy nhất là từ (các) danh sách thả xuống …

96 php  mysql  mysqli  sql-injection 

Có thể ngăn chặn việc đưa SQL vào Node.js (tốt nhất là với một mô-đun) giống như cách mà PHP có các Câu lệnh chuẩn bị bảo vệ chống lại chúng không. Nếu vậy, làm thế nào? Nếu không, một số ví dụ có thể bỏ qua mã tôi đã …

86 javascript  mysql  node.js  sql-injection  node-mysql