sql-injection
Переключение инструкций MySQL insert и update на подготовленные инструкции PDO для предотвращения внедрения SQL
Я пытаюсь переключить эти инструкции MySQL INSERT В и Update на подготовленные инструкции PDO (в первую очередь для пре ... (mysql_affected_rows()==0) {
$result = mysql_query('INSERT INTO fit_table ('.$fieldlist.') VALUES ('.$vallist.')');}
Как экранируются строки для каждого расширения базы данных в php?
Прежде чем кто-либо сделает выводы о природе этого вопроса, я уже знаю о параметризованных/подготовленных утверждениях ... $col1 = ?"
После $col1, $col2, и $table были экранированы, оператор может быть использован в подготовленном операторе.
ЯВЛЯЕТСЯ ли умножение на 1 безопасным способом очистки числовых значений от sql-инъекций?
Мне интересно, если у меня есть значение, которое, как я знаю, должно быть числовым, является ли умножение его на 1 без ... уется для многих типов числовых значений, которые у меня есть в приложении (могут быть деньги, могут быть pai и т. Д.).
Предотвращение внедрения SQL с помощью PHP для SQL Server и без PDO [дубликат]
На этот вопрос уже есть ответ здесь:
Как экранировать строки в SQL Server с помощью PHP?
... о расширить свои обязанности, включив обслуживание в фактическую базу данных, выполнив процедуры вставки/обновления.
PDO Подготовил инструкции с несколькими условиями в предложении where
Если я использую подготовленные инструкции PDO, и у меня есть такой запрос:
SELECT cat_name, cat_id_PK, cat_amount
FRO ... вязали значение, даже если это не была передаваемая переменная, что заставило меня задуматься, правильно ли я это делаю.
MYSQL Атакует Вопросы второго порядка
Прямо сейчас я использую подготовленные инструкции для выбора/вставки данных в mysql.
Хорошо, мой вопрос, я узнал об ат ... "SELECT * FROM email WHERE username = $username";
$stmt = $mysqli->prepare($sql);
$stmt->execute();
Спасибо:-)
Насколько опасен этот PHP-код?
Насколько опасен этот php-код? Что с этим можно сделать?
$name = $_POST["user"];
$pwd = $_POST["pwd"];
$query = "SELECT name,pwd FROM users WHERE name = '$name' AND pwd = '$pwd'";
Возможна ли инъекция SQL с помощью POST?
Внедрение Sql возможно, если параметры передаются через GET. Но возможно ли это также и по ПОЧТЕ. Если да, может ли https предотвратить это?
Возможна ли в этом коде SQL-инъекция?
Введение
Я взял на себя обслуживание действительно грязной страницы PHP, которая является платформой бронирования ап ... стему как "поддельный" администратор?
Примечание: Сервер БД - MySQL, PHP находится в версии 5 и magic_quotes включен.
Очистка ввода в php
Я знаю, что sql-инъекции обсуждались много-много раз здесь, в stackoverflow.
Каковы недостатки использования этого ме ... не превращайте обсуждение в подготовленные заявления и PDO, даже если это, возможно, следует считать лучшей практикой.
Всесторонняя проверка на стороне сервера
В настоящее время у меня есть довольно надежная система проверки на стороне сервера, но я ищу некоторую обратную связь, ... для отображения на странице)
Есть ли что-нибудь, что я упускаю? Примеры кода или регулярные выражения приветствуются.
PHP и mySQLi: Мне все еще нужно проверять ввод данных пользователем при использовании инструкций prepare?
Если я использую инструкции prepare в mySQLi, мне все равно нужно будет каким-либо образом экранировать или проверять п ...
Нужно ли мне менять $r_email = $_POST['r_email'] на $r_email = mysql_real_escape_string($_POST['r_email']);
Спасибо.
PHP mysql реальная escape-строка() и символ %
Что mysql_real_escape_string() делает с символом % (в процентах) и насколько он представляет угрозу безопасности (и как это исправить)?
Предотвращение внедрения SQL в PHP с помощью MDB2
Я пытаюсь понять, как предотвратить sqlinjection, я написал эту базовую функцию: функция
antiInjectie($inputfromform) ... -то сказал мне также учитывать шестнадцатеричные значения, но как мне это сделать?
Обновление
Я застрял с MDB2 и pgsql
Список символов, которые должны быть ограничены для защиты от XSS и SQL-инъекций?
Я просмотрел множество статей, чтобы найти простой список символов, которые могут ограничить ввод данных пользователем ... м для поля, но мне это нужно для текстового поля, в котором я хочу разрешить максимально возможное количество символов.
Как защитить проект от взломов и атак?
Я начал заниматься веб-разработкой не так давно. Теперь я кое-что знаю, но меня действительно беспокоят проблемы безопа ... error());
$username = $_GET['username'];
//gets username from url like http://myweb.com/profile.php?username=blabla
ПОЛУЧИТЬ параметры, уязвимые для SQL-инъекции - PHP
Меня попросили решить проблему безопасности для сайта, который был создан другим программистом. На данный момент я еще ... ераторы, но я не знаю, как они настроены. Но будет ли mysql_real_escape_string заботиться о потенциальной инъекции SQL?
sql-инъекция изменяет возвращаемые значения
Недавно я подумал о чем-то подобном:
$sql = "SELECT password FROM users WHERE user = '" . $_POST["user"] . "'";
$resul ... аемый пароль, значение md5 которого вы можете затем просто использовать в качестве пароля.
Есть идеи, возможно ли это?
Является ли такое использование замены str достаточным для предотвращения атак с использованием SQL-инъекций?
Редактировать если вы планируете ответить на этот вопрос, пожалуйста, хотя бы прочитайте его. Не просто прочитайте заго ... r_replace заменяет ли все экземпляры первого аргумента вторым, а не только первым пример.
Любой вклад очень ценится.
Работает ли это для остановки sql-инъекций
Я использовал приведенный ниже блок кода, чтобы предположительно остановить sql-инъекции. Это то, что кто-то показал мн ... ineprint='$_POST[fineprint]', exdate='$exdate', creationdate=NOW() WHERE id='$cid'") or die ('error ' . mysql_error());