sql-injection

Я пытаюсь переключить эти инструкции MySQL INSERT В и Update на подготовленные инструкции PDO (в первую очередь для пре ... (mysql_affected_rows()==0) { $result = mysql_query('INSERT INTO fit_table ('.$fieldlist.') VALUES ('.$vallist.')');}

Прежде чем кто-либо сделает выводы о природе этого вопроса, я уже знаю о параметризованных/подготовленных утверждениях ... $col1 = ?" После $col1, $col2, и $table были экранированы, оператор может быть использован в подготовленном операторе.

Мне интересно, если у меня есть значение, которое, как я знаю, должно быть числовым, является ли умножение его на 1 без ... уется для многих типов числовых значений, которые у меня есть в приложении (могут быть деньги, могут быть pai и т. Д.).

На этот вопрос уже есть ответ здесь: Как экранировать строки в SQL Server с помощью PHP? ... о расширить свои обязанности, включив обслуживание в фактическую базу данных, выполнив процедуры вставки/обновления.

Если я использую подготовленные инструкции PDO, и у меня есть такой запрос: SELECT cat_name, cat_id_PK, cat_amount FRO ... вязали значение, даже если это не была передаваемая переменная, что заставило меня задуматься, правильно ли я это делаю.

Прямо сейчас я использую подготовленные инструкции для выбора/вставки данных в mysql. Хорошо, мой вопрос, я узнал об ат ... "SELECT * FROM email WHERE username = $username"; $stmt = $mysqli->prepare($sql); $stmt->execute(); Спасибо:-)

Насколько опасен этот php-код? Что с этим можно сделать? $name = $_POST["user"]; $pwd = $_POST["pwd"]; $query = "SELECT name,pwd FROM users WHERE name = '$name' AND pwd = '$pwd'";

Внедрение Sql возможно, если параметры передаются через GET. Но возможно ли это также и по ПОЧТЕ. Если да, может ли https предотвратить это?

Введение Я взял на себя обслуживание действительно грязной страницы PHP, которая является платформой бронирования ап ... стему как "поддельный" администратор? Примечание: Сервер БД - MySQL, PHP находится в версии 5 и magic_quotes включен.

Я знаю, что sql-инъекции обсуждались много-много раз здесь, в stackoverflow. Каковы недостатки использования этого ме ... не превращайте обсуждение в подготовленные заявления и PDO, даже если это, возможно, следует считать лучшей практикой.

В настоящее время у меня есть довольно надежная система проверки на стороне сервера, но я ищу некоторую обратную связь, ... для отображения на странице) Есть ли что-нибудь, что я упускаю? Примеры кода или регулярные выражения приветствуются.

Если я использую инструкции prepare в mySQLi, мне все равно нужно будет каким-либо образом экранировать или проверять п ... Нужно ли мне менять $r_email = $_POST['r_email'] на $r_email = mysql_real_escape_string($_POST['r_email']); Спасибо.

Что mysql_real_escape_string() делает с символом % (в процентах) и насколько он представляет угрозу безопасности (и как это исправить)?

Я пытаюсь понять, как предотвратить sqlinjection, я написал эту базовую функцию: функция antiInjectie($inputfromform) ... -то сказал мне также учитывать шестнадцатеричные значения, но как мне это сделать? Обновление Я застрял с MDB2 и pgsql

Я просмотрел множество статей, чтобы найти простой список символов, которые могут ограничить ввод данных пользователем ... м для поля, но мне это нужно для текстового поля, в котором я хочу разрешить максимально возможное количество символов.

Я начал заниматься веб-разработкой не так давно. Теперь я кое-что знаю, но меня действительно беспокоят проблемы безопа ... error()); $username = $_GET['username']; //gets username from url like http://myweb.com/profile.php?username=blabla

Меня попросили решить проблему безопасности для сайта, который был создан другим программистом. На данный момент я еще ... ераторы, но я не знаю, как они настроены. Но будет ли mysql_real_escape_string заботиться о потенциальной инъекции SQL?

Недавно я подумал о чем-то подобном: $sql = "SELECT password FROM users WHERE user = '" . $_POST["user"] . "'"; $resul ... аемый пароль, значение md5 которого вы можете затем просто использовать в качестве пароля. Есть идеи, возможно ли это?

Редактировать если вы планируете ответить на этот вопрос, пожалуйста, хотя бы прочитайте его. Не просто прочитайте заго ... r_replace заменяет ли все экземпляры первого аргумента вторым, а не только первым пример. Любой вклад очень ценится.

Я использовал приведенный ниже блок кода, чтобы предположительно остановить sql-инъекции. Это то, что кто-то показал мн ... ineprint='$_POST[fineprint]', exdate='$exdate', creationdate=NOW() WHERE id='$cid'") or die ('error ' . mysql_error());