Вопросы с тегом 'sql-injection'

SQL-инъекция - это метод инъекции кода, используемый для атаки приложений, управляемых данными, в которых вредоносные операторы SQL вставляются в поле ввода для выполнения (например, чтобы сбрасывать содержимое базы данных злоумышленнику)
12

Достаточно ли параметров для предотвращения инъекций Sql?

Я проповедовал как своим коллегам, так и здесь, о том, насколько хорошо использовать параметры в SQL-запросах, особенно в .NET-приложениях. Я даже зашел так далеко, что обещал им предоставить иммунитет против атак SQL-инъекций. Но я начинаю задавать...
20 нояб. '08 в 20:06
12

Может ли параметризованный оператор остановить всю инъекцию SQL?

Если да, почему все еще так много успешных инъекций SQL? Просто потому, что некоторые разработчики слишком глупы, чтобы использовать параметризованные утверждения?
22 июл. '11 в 5:31
5

Что делает этот хакер?

Если вы выполните поиск: http://www.google.co.uk/search?q=0x57414954464F522044454C4159202730303A30303A313527&hl=en&start=30&sa=N вы увидите множество примеров попыток взломать строки: 1) declare @q varchar(8000) select @q = 0x57414954...
28 мая '10 в 14:45
12

CodeIgniter автоматически предотвращает SQL-инъекцию?

Я просто унаследовал проект, потому что последний разработчик остался. Проект построен с помощью Code Igniter. Я никогда раньше не работал с Code Igniter. Я быстро просмотрел код, и я вижу вызовы базы данных в контроллере следующим образом: $dbResu...
23 окт. '09 в 20:47
5

Ссылка: что такое идеальный пример кода с использованием расширения MySQL?

Это создание ресурса обучения сообщества. Цель состоит в том, чтобы иметь примеры хорошего кода, которые не повторяют ужасных ошибок, которые так часто можно найти в скопированном/вставленном PHP-коде. Я попросил его сделать Community Wiki. Это н...
01 июн. '11 в 8:09
6

Как санитария, которая избегает одинарных кавычек, должна быть побеждена SQL-инъекцией в SQL Server?

Чтобы начать это, мне хорошо известно, что параметризованные запросы - лучший вариант, но я спрашиваю, что делает стратегию, представленную ниже уязвимой. Люди настаивают на том, что нижеследующее решение не работает, поэтому я ищу пример того, поче...
21 мар. '13 в 0:31
9

Как я могу проверить свой веб-сайт на атаки SQL-инъекций?

Какие существуют автоматические инструменты?
10 окт. '08 в 7:40
3

Предотвращение атаки CSRF, XSS и SQL Injection в JSF

У меня есть веб-приложение, построенное на JSF с MySQL как DB. Я уже реализовал код для предотвращения использования CSRF в своем приложении. Теперь, поскольку моя базовая структура JSF, я думаю, мне не нужно обрабатывать атаку XSS, поскольку она уж...
11 окт. '11 в 6:30
3

Предотвращение SQL-инъекций в Node.js

Можно ли предотвратить инъекции SQL в Node.js(желательно с помощью модуля) таким же образом, что у PHP были подготовленные заявления, защищенные от них. Если да, то как? Если нет, какие примеры, которые могут обойти предоставленный мной код (см. ...
03 апр. '13 в 3:55
7

Конечная чистая/безопасная функция

У меня есть много пользовательских входов от $_GET и $_POST... На данный момент я всегда пишу mysql_real_escape_string($_GET['var']).. Я хотел бы знать, можно ли сделать функцию, которая обеспечивает, ускоряет и очищает массивы $_GET/$_POST сразу,...
19 нояб. '10 в 10:09
5

Как MongoDB избегает беспорядка SQL-инъекций?

Я читал свою надежную книгу О'Рейли и наткнулся на отрывок о том, как Монго по своей природе избегает болота ошибок, вызванных SQL-инъекциями. В моей кишке, я думаю, я это понимаю. Если неанитированные vars передаются в запросы, они не могут вырвать...
16 февр. '11 в 19:58
14

Когда лучше всего санировать вход пользователя?

Пользователь равен ненадежности. Никогда не доверяйте ненадежным вводам пользователей. Я понимаю. Тем не менее, мне интересно, когда самое лучшее время для дезинфекции материалов. Например, слепо хранить пользовательский ввод, а затем дезинфицировать...
29 авг. '08 в 18:07
4

Примеры SQL-инъекций с помощью addlashes()?

В PHP я знаю, что mysql_real_escape гораздо безопаснее, чем при использовании addslashes. Тем не менее, я не мог найти пример ситуации, когда addslashes допускает инъекцию SQL. Может ли кто-нибудь привести некоторые примеры?
13 мая '09 в 23:38
5

Может кто-нибудь объяснить эту инъекцию SQL-инъекции для меня?

Я хотел опубликовать это здесь, поскольку это очень связано с кодированием, и это было что-то, что я должен был очистить на этой неделе на одном из моих старых ASP (классических) сайтов. Мы получили удар с атакой SQL-инъекций, которая была запущена ...
05 дек. '11 в 1:53
8

Передача имени таблицы в качестве параметра в psycopg2

У меня есть следующий код, используя pscyopg2: sql = 'select %s from %s where utctime > %s and utctime < %s order by utctime asc;' data = (dataItems, voyage, dateRangeLower, dateRangeUpper) rows = cur.mogrify(sql, data) Выводится: select 'w...
10 дек. '12 в 0:23