sql-injection

Допустим, у меня есть такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where use ... подготовленных инструкций против SQL-инъекции. В этом контексте мне все равно о XSS или других возможных уязвимостях.

Существует ли возможность SQL-инъекции даже при использовании функции mysql_real_escape_string()? Рассмотрим эту прим ... 1 -- Не работает. Знаете ли вы о какой-либо возможной инъекции, которая могла бы получить с помощью кода PHP выше?

Я понимаю, что вы НИКОГДА не должны доверять вводу данных пользователем из формы, главным образом из-за вероятности вне ... option> <option value="Small">Small</option> </select> <input type="submit"> </form>

Ранее сегодня был задан вопрос относительно стратегий проверки ввода в веб-приложениях. Верхний ответ на момент напи ... _string. Мой вопрос: всегда ли этого достаточно? Есть ли еще что-то, что мы должны знать? Где эти функции нарушаются?

В PHP я знаю, что mysql_real_escape намного безопаснее, чем использование addslashes. Однако я не смог найти пример ситуации, когда addslashes позволил бы выполнить SQL-инъекцию. Кто-нибудь может привести несколько примеров?

У меня есть много пользовательских вводов от $_GET и $_POST... В данный момент я всегда пишу mysql_real_escape_string($ ... ars($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }

Это делается для создания учебного ресурса сообщества . Цель состоит в том, чтобы иметь примеры хорошего кода, кото ... ysql_* совершенно безопасно при правильном использовании. Так что, пожалуйста, никаких ответов "использовать PDO" здесь.

Я изменяю свой код с использования mysql_* на PDO. В моем коде у меня было mysql_real_escape_string(). Что эквивалентно этому в PDO?

Я читал об атаках с использованием SQL-инъекций и о том, как их избежать, хотя, похоже, я никогда не смогу использовать ... о-то в этом роде, и в наши дни даже новички защищены от таких вещей, как волшебные кавычки? Я использую PHP5 в Ubuntu.

Начал использовать подготовленные PDO заявления не так давно, и, как я понимаю, он выполняет все функции по спасению/бе ... ; Действительно ли это безопасно? Должен ли я делать что-нибудь еще? что еще я должен принять во внимание? Спасибо.

Кто-то взломал мою базу данных и уронил таблицу. На моей странице PHP есть один единственный запрос, в котором я испо ... rror() ); mysql_close($db_con); И register_globals является отключенным. Итак, как была взломана моя база данных?

В другом вопросе есть комментарий, в котором говорится следующее: "Когда дело доходит до запросов к базе данных, ... al_escape_string". Источник Итак, я хочу спросить: почему подготовленные параметризованные запросы более безопасны?

Это часть задания для моего класса компьютерной безопасности, поэтому я не ищу конкретных ответов, просто немного помощ ... L, поэтому я думаю, что просто неправильно форматирую это. Это или я полностью упускаю из виду более очевидный подвиг.

В принципе, я хочу сделать вот что: mysql_query("SELECT ... FROM ... ORDER BY $_GET[order]") Очевидно, что они мог ... очнить, $_GET['order'] не будет просто одним полем/столбцом. Это может быть что-то вроде last_name DESC, first_name ASC.

Я разрабатываю веб-приложение. Например, правильный, в прошлом я использовал такие вещи, как Joomla, для создания потря ... е. Я знаю, что это целая куча вопросов, но, подводя итог, что вы делаете, чтобы убедиться, что все на 100 % безопасно?

У меня была эта дискуссия с высокой репутацией PHP парень: PDO здесь бесполезен. а также строка mysql_real_escape_s ... NT(BUSNAME) FROM `".$layer."` GROUP BY Category"; , учитывая, что код JavaScript получает отправку на стороне клиента.

За выходные я составил список регулярных выражений для проверки sql-инъекций в супер глобалах GET, POST и COOKIE. Они, ... вопрос заключается в том, можете ли вы выполнить sql-инъекцию после этой тестовой функции, и если да, то что это такое?

У меня есть следующий код: function dbPublish($status) { global $dbcon, $dbtable; if(isset($_GET['itemId'])) { ... (); $stmt->close(); } } Нужно ли мне в этом случае использовать строку mysql_real_escape_string или я в порядке?

Таким образом, я знаю об инъекции MySQL и всегда избегаю всего пользовательского ввода, прежде чем помещать его в свою б ... if(get_magic_quotes_gpc()) $string = stripslashes($string); return mysql_real_escape_string($string); }

Некоторые люди считают, что mysql_real_escape_string() имеет некоторые недостатки и не может защитить ваш запрос даже п ... е можно использовать эту функцию для создания собственных подготовленных заявлений? С корректурным кодом, пожалуйста.