sql-injection

Хорошо известно, что подготовленные инструкции являются хорошей защитой от атак с использованием SQL-инъекций. Может ... я переменными. Следовательно, если переменные содержат вредоносный sql, то они все равно привязаны вместо заполнителей?

Недавно один хакер попытался замедлить работу моего сайта с помощью инъекции сна. Хотя мы используем меры предосторожно ... траиваемой функции Есть ли какой-либо другой способ остановить это? Каков наилучший метод предотвращения инъекций сна?

Таким образом, пользователи моего сайта могут публиковать темы, ответы, комментарии, редактировать их и так далее. Я вс ... чтобы защитить свой сайт от атак XSS и SQL-инъекций. Этого достаточно или есть что-то еще, чего мне не хватает? Спасибо.

Я слышал, что sprintf() снова защищает sql-инъекцию. это правда? если да, то как он снова защищает sql-инъекцию? Поче ... уют писать запрос следующим образом: $sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);

PHP: $SQL = "SELECT goodies FROM stash WHERE secret='" . str_replace("'",'',$_POST['secret']) . "'"; Может ли хакер - злой гений внедрить SQL в мой SELECT - Как?

Существует множество выдающихся способов защиты приложений от SQL-инъекций, например, в этом разделе вопросов и ответов ... чтобы сделать запросы безопасными? Есть ли какой-нибудь способ обойти removeBadCharacters? Как это может быть сломанный?

$id = trim((int)$_GET['id']); $sql = 'SELECT * FROM users WHERE id = ' . $db->quote($id) . ' LIMIT 1'; $run = $db-&g ... O в качестве подготовленных утверждений? Или я должен полностью использовать подготовленные инструкции в своем сценарии?

У меня есть небольшая база данных MySQL с несколькими сотнями строк (все в тексте, без изображений). Я запрашиваю все ... ка инъекции, так как в базу данных не передается пользовательский ввод. Прав я или нет? Большое спасибо за ваше ввод!

Я новичок в PHP и еще не знаком с тем, как это работает. Если я использую mysqli_real_escape_string() и параметризую ... мы обнаружения инъекций? Просто подтвердите ввод пользователя с помощью регулярных выражений и сохраните его в базе данных?

Вчера вечером я читал о предотвращении SQL-инъекций и наткнулся на этот ответ: Как я могу предотвратить внедрение SQ ... , что это может быть быстрее с несколькими одинаковыми запросами, но это не та ситуация, с которой я часто сталкиваюсь).

Прежде всего, Я полностью осведомлен об уязвимостях внедрения SQL и я использую PDO для новых приложений, которые я р ... yint, int, bigint, и т.д., что означает, что ноль является вполне приемлемым значением для поиска. Мы используем PHP 5.3.2

В MySQL комментарии могут быть вставлены в сами ключевые слова , что обеспечивает еще одно средство обхода некотор ... мментировать вещи между сохраненными словами? в чем преимущество? И почему это своего рода обход? Это кажется глючным!

Я пишу систему аутентификации для своего сайта и хочу убедиться, что я защищен от внедрения SQL. Я использую "mysql_rea ... user_name, id FROM url_users WHERE user_name='".$user_name."' and user_password='".$md5."';",array("user_name","id"));

Поэтому мне было интересно, достаточно ли этого, чтобы быть уверенным, что пользователь не будет делать никаких SQL-инъ ... ностью уверен, что если связать параметр как целое число, то это будет целое число и ничего больше? Спасибо в вперед!

Возможный Дубликат: Лучший способ предотвратить внедрение SQL в PHP? Я провел небольшое тестирование, чтобы за ... аточно ли просто заключать мои пользовательские данные в одинарные кавычки? Или я пересмотрел более сложные методы SQLi?

Я пытался и пытался добиться внедрения SQL, делая пользовательские запросы к серверу за пределами firefox. Внутри php ... ername) VALUES(' . sha1($_POST['password']) . ',' . $_POST['username'] . ')); Это безопасный способ внести изменения?

Можно ли использовать этот код для обрезки и экранирования всех записей в моей функции регистрации? или лучше практиков ... if (invalidinput) dostuff else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')

Я новичок в библиотеках PDO. Я работаю над средой разработки с mysql в качестве моей базы данных. Я могу выполнять свои ... ли, по крайней мере, как будут выглядеть параметры перед запуском запроса?? Я надеюсь, что мне ясно с моим вопрос. :|

Возможный Дубликат: Что такое SQL-инъекция? Я вижу много php-кода, плавающего в stackoverflow, и (тоже) небол ... ром, данными и кодом; Приведите пример выполнения SQL-инъекции Приведите пример кода php, как защитить от SQL-инъекция

У меня есть простое текстовое поле ввода html в очень простой форме. форма информации эта форма передается в базу данны ... elds filled in ?> <br><input type="submit" name="Submit" value=" I Agree, Preview "/> </form>