sql-injection
PHP (int) для переменных в запросе MySQL. В безопасности?
Я использую следующий метод для запросов MySQL:
$sql = "SELECT * FROM mytable WHERE `myTableId`=" . (int)$myId;
Яв ... зопасным методом или есть способ ввести некоторый sql в базу данных с помощью этого метода?
Есть ли лучшая альтернатива?
Безопасно ли использовать связанные параметры в качестве определяемой пользователем переменной в MySQL?
ПРОБЛЕМА
Я понимаю, что использование подготовленного оператора предотвращает внедрение, поскольку выполнение подгот ...
'param1_2' => $userInput
'param1_3' => $userInput
];
$stmt = $pdo->prepare($q);
$stmt->execute($param);
Строка в кодировке Base64 для простой инъекции sql
За исключением проблемы с производительностью, является ли base64_encode() "хорошей" практикой для предотвращения внедр ... тями проекта), так почему бы не преобразовать перед сохранением (ну, немного дополнительного пространства в базе данных)
Запрос на инъекцию MySQL
Я знаком с подготовленными заявлениями и знаю, что они являются лучшей практикой, когда дело доходит до защиты от внедр ... о...
$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".mysqli_real_escape_string($_POST['name'])."';");
Как очистить строку, чтобы избежать SQL-инъекции и наиболее распространенных типов атак? (на PHP)
Есть ли способ, используя как можно меньше кода, отфильтровать строку как для SQL-инъекции, так и для наиболее распрост ... му что я не хочу жестко кодировать базу данных, которую я использую, в свой код.
Это нормально?
Заранее благодарю
Безопасность MySQL в CodeIgniter
Я новичок в CodeIgniter, но не новичок в PHP, и мне было интересно, что мне нужно сделать в CodeIgniter, чтобы сделать ... ано ниже:
$this->db->query("SELECT * FROM Users WHERE Username = ?", array($username));
Какой путь правильный?
Параметр URL-адреса для инъекции SQL WordPress
Я написал очень небольшое приложение WordPress, которое использует значения параметров URL для создания html-контента н ... зную работу" за меня, например, не позволяет злоумышленникам вводить команды SQL или другие вещи?
Заранее спасибо,
Бен
Предотвращение инъекций SQL - ПОЛУЧИТЬ VARS
У меня есть URL-адрес, который, когда он действителен, будет выглядеть так:
site.com/page.php?id=12345
Я пытаюсь по ... ивный способ проверки данных без подготовленные заявления, любые советы будут весьма признательны.
Заранее благодарю.
Защита От Внедрения SQL С Помощью PDO API? [дубликат]
Возможный Дубликат: Являются ли подготовленные инструкции PDO достаточными для предотвращения внедрения SQL?
... яет пользователь (отсюда вопрос о внедрении SQL)
Но на данный момент проходящие запросы определяются администратором.
Контрольный список безопасности PHP (инъекции, сеансы и т.д.)
Итак, на каких вещах должен сосредоточиться человек, использующий PHP и MySQL, чтобы обеспечить максимальную безопаснос ... аже не знаю, о чем мне следует беспокоиться.Я немного сожалею, что сейчас не создаю cakephp, так как я не профессионал.
Как защитить себя от SQL-инъекции при использовании подготовленных инструкций/процедур хранения в PHP?
Я изучал, как лучше всего защитить от sql-инъекции в PHP/mysql, помимо простого использования mysqli/mysql real escape, ... м sql-инъекций, поэтому может ли кто-нибудь предоставить пример, в котором PDO недостаточно с точки зрения безопасности?
Пример кода для исправления этой конкретной дыры в SQL-инъекции
Пожалуйста, сначала прочитайте полностью
В этом ответе: Как предотвратить внедрение SQL с динамическими именами табл ... и от SQL-инъекции.
Пожалуйста, не объясняйте SQL-инъекцию, я знаю все о инъекциях и PDO, мне просто нужен пример кода
Параметризованный запрос с несколькими дополнительными условиями поиска
У меня есть веб-приложение с большим количеством данных и функцией поиска/фильтрации с несколькими полями, такими как и ... ько по имени и дате. Как бы я сделал привязку? Не стоит проверять каждую из 100 возможных комбинаций поисковых запросов.
Предотвращение внедрения SQL в PHP без параметризованных запросов?
Я знаю, что эта тема была освещена до смерти, но я хотел бы получить некоторую обратную связь от сообщества относительн ... но ни одного хорошего контраргумента (т. Е. Демонстрации атаки, которая может победить ее при правильном использовании).
Вопрос о волшебных цитатах PHP
Я никогда раньше не программировал в среде с включенными волшебными кавычками. Сейчас я работаю над проектом, где это ... сь делать это таким образом, хотя бы потому, что весь существующий код на сайте предполагает, что он включен.
Спасибо!
Yii2: Могу ли я привязать массив к условию IN() в соединении?
Я попробую выполнить запрос ниже, но не уверен, что это предотвратит внедрение sql?
$status = [1, ... словию IN()?
Пожалуйста, дайте решение о том, как использовать IN() Condition в On части соединения (PDO/Yii2/mysql).
"Использовать PDO" в таблице MySQL. Это что, взлом?
Хорошо, это может показаться смешным, но вот что произошло:
Я создал сайт, полностью работающий, на CodeIgniter
Са ... вляется с помощью функции бд CodeIgniter, поэтому я полагаю, что все должно было быть правильно экранировано. Есть идеи?
Как я должен написать PHP $POST vars в функции запроса mysql?
При доступе к моей базе данных я прошу пользователя заполнить форму, и на целевой странице опубликованные значения испо ... я команды ВСТАВКИ?
Надеюсь, это не "не повезло, похоже, вам придется присвоить все ваши опубликованные значения". Хех.
как использовать bigint, чтобы предотвратить внедрение sql в php?
Я использую php и выполняю sql-запросы на сервере mysql.
чтобы предотвратить sql-инъекции, я использую строку mysql_rea ... мер, BIGINT), за исключением использования mysql_real_escape_string, когда дело доходит до предотвращения инъекций sql?
Есть ли что-нибудь, о чем мне нужно беспокоиться, кроме SQL-инъекций и XSS-атак?
Я заканчиваю свое первое "настоящее" PHP-приложение и пытаюсь убедиться, что оно безопасно. Я немного боюсь, что, поско ... явление, я не знал о подготовленных заявлениях, что является своего рода огромной проблемой. Я пропустил что-нибудь еще?