sql-injection
Являются ли подготовленные инструкции PDO достаточными для предотвращения внедрения SQL?
Допустим, у меня есть такой код:
$dbh = new PDO("blahblah");
$stmt = $dbh->prepare('SELECT * FROM users where use ... подготовленных инструкций против SQL-инъекции. В этом контексте мне все равно о XSS или других возможных уязвимостях.
Инъекция SQL, которая обходит реальную escape-строку mysql()
Существует ли возможность SQL-инъекции даже при использовании функции mysql_real_escape_string()?
Рассмотрим эту прим ... 1 --
Не работает.
Знаете ли вы о какой-либо возможной инъекции, которая могла бы получить с помощью кода PHP выше?
Должен ли я защищаться от внедрения SQL, если я использовал раскрывающийся список?
Я понимаю, что вы НИКОГДА не должны доверять вводу данных пользователем из формы, главным образом из-за вероятности вне ... option>
<option value="Small">Small</option>
</select>
<input type="submit">
</form>
Защищают ли htmlspecialchars и реальная escape-строка mysql мой PHP-код от инъекций?
Ранее сегодня был задан вопрос относительно стратегий проверки ввода в веб-приложениях.
Верхний ответ на момент напи ... _string.
Мой вопрос: всегда ли этого достаточно? Есть ли еще что-то, что мы должны знать? Где эти функции нарушаются?
Примеры SQL-инъекций с помощью addslashes()?
В PHP я знаю, что mysql_real_escape намного безопаснее, чем использование addslashes.
Однако я не смог найти пример ситуации, когда addslashes позволил бы выполнить SQL-инъекцию.
Кто-нибудь может привести несколько примеров?
Идеальная функция очистки/безопасности
У меня есть много пользовательских вводов от $_GET и $_POST... В данный момент я всегда пишу mysql_real_escape_string($ ... ars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;
}
Ссылка: Что такое идеальный пример кода с использованием расширения MySQL? [закрыто]
Это делается для создания учебного ресурса сообщества . Цель состоит в том, чтобы иметь примеры хорошего кода, кото ... ysql_* совершенно безопасно при правильном использовании. Так что, пожалуйста, никаких ответов "использовать PDO" здесь.
Что такое PDO-эквивалент реальной escape-строки функции mysql?
Я изменяю свой код с использования mysql_* на PDO. В моем коде у меня было mysql_real_escape_string(). Что эквивалентно этому в PDO?
Является ли внедрение SQL сегодня риском?
Я читал об атаках с использованием SQL-инъекций и о том, как их избежать, хотя, похоже, я никогда не смогу использовать ... о-то в этом роде, и в наши дни даже новички защищены от таких вещей, как волшебные кавычки?
Я использую PHP5 в Ubuntu.
насколько безопасны подготовленные заявления PDO
Начал использовать подготовленные PDO заявления не так давно, и, как я понимаю, он выполняет все функции по спасению/бе ... ;
Действительно ли это безопасно? Должен ли я делать что-нибудь еще? что еще я должен принять во внимание?
Спасибо.
Кто-то взломал мою базу данных - как?
Кто-то взломал мою базу данных и уронил таблицу.
На моей странице PHP есть один единственный запрос, в котором я испо ... rror() );
mysql_close($db_con);
И register_globals является отключенным.
Итак, как была взломана моя база данных?
Почему использование подготовленного оператора mysql более безопасно, чем использование обычных функций escape?
В другом вопросе есть комментарий, в котором говорится следующее:
"Когда дело доходит до запросов к базе данных,
... al_escape_string".
Источник
Итак, я хочу спросить: почему подготовленные параметризованные запросы более безопасны?
Атака SQL-инъекции с помощью php
Это часть задания для моего класса компьютерной безопасности, поэтому я не ищу конкретных ответов, просто немного помощ ... L, поэтому я думаю, что просто неправильно форматирую это.
Это или я полностью упускаю из виду более очевидный подвиг.
Есть ли что-нибудь, что можно поставить после пункта "ЗАКАЗАТЬ ПО", что может представлять угрозу безопасности?
В принципе, я хочу сделать вот что:
mysql_query("SELECT ... FROM ... ORDER BY $_GET[order]")
Очевидно, что они мог ... очнить, $_GET['order'] не будет просто одним полем/столбцом. Это может быть что-то вроде last_name DESC, first_name ASC.
Тестирование на наличие уязвимостей безопасности в веб-приложениях: Лучшие практики? [закрыто]
Я разрабатываю веб-приложение. Например, правильный, в прошлом я использовал такие вещи, как Joomla, для создания потря ... е.
Я знаю, что это целая куча вопросов, но, подводя итог, что вы делаете, чтобы убедиться, что все на 100 % безопасно?
Как предотвратить внедрение SQL с динамическими именами таблиц?
У меня была эта дискуссия с высокой репутацией PHP парень:
PDO здесь бесполезен. а также строка mysql_real_escape_s ... NT(BUSNAME)
FROM `".$layer."` GROUP BY Category";
, учитывая, что код JavaScript получает отправку на стороне клиента.
Обнаружение SQL-инъекций - Скомпилированные регулярные выражения… в поисках тестовых инъекций
За выходные я составил список регулярных выражений для проверки sql-инъекций в супер глобалах GET, POST и COOKIE. Они, ... вопрос заключается в том, можете ли вы выполнить sql-инъекцию после этой тестовой функции, и если да, то что это такое?
Должен ли я использовать реальную escape-строку mysql, если я привязываю параметры?
У меня есть следующий код:
function dbPublish($status)
{
global $dbcon, $dbtable;
if(isset($_GET['itemId']))
{
... ();
$stmt->close();
}
}
Нужно ли мне в этом случае использовать строку mysql_real_escape_string или я в порядке?
Необходимо избежать ввода данных пользователем из базы данных?
Таким образом, я знаю об инъекции MySQL и всегда избегаю всего пользовательского ввода, прежде чем помещать его в свою б ... if(get_magic_quotes_gpc())
$string = stripslashes($string);
return mysql_real_escape_string($string);
}
Является ли mysql реальной escape-строкой() сломанной?
Некоторые люди считают, что mysql_real_escape_string() имеет некоторые недостатки и не может защитить ваш запрос даже п ... е можно использовать эту функцию для создания собственных подготовленных заявлений?
С корректурным кодом, пожалуйста.