Описание тега sql-injection
SQL-инъекция - это метод инъекции кода, используемый для атаки приложений, управляемых данными, в которых вредоносные операторы SQL вставляются в поле ввода для выполнения (например, для передачи содержимого базы данных злоумышленнику)
1
ответ
Как использовать мой PHP-код с SQL-инъекцией
Я работаю над проектом, в котором нам нужно написать страницу входа с помощью PHP, а затем использовать ее с помощью SQL-инъекции, прежде чем исправлять уязвимость. До сих пор я написал страницу входа в систему, которая подключается к базе данных и …
03 апр '18 в 10:00
1
ответ
Запретить SQL-инъекцию, когда имя таблицы и предложение where являются переменными
У меня в ситуации нужна твоя помощь. На данный момент я создал приложение asp.net, используя ado.net. Я использую CommandText для построения динамического запроса, поэтому в нем есть уязвимость SQL-инъекции. Мой CommandText, как это String.Format("S…
20 июн '15 в 02:25
2
ответа
SQL-инъекция принимает язык php
Я работаю над отчетом об оценке безопасности приложения php, созданного Accunetix. В отчете говорится об уязвимости SQL-инъекций. Приложение PHP с MySQL. Вот заголовки, которые, как он говорит, делают атаку (в частности, заголовок accept-language): …
04 ноя '13 в 22:49
0
ответов
Инъекция SQL с уязвимостью в нескольких кодировках mysql_escape_string для записи выходного файла
На прошлой неделе я пытался обойти SQL-запрос с помощью уязвимости PHP addlashes/mysql_escape с использованием языков с несколькими наборами символов. Принимая во внимание следующий PHP-код, я пытаюсь манипулировать запросом с помощью инжекции для з…
27 дек '15 в 13:43
3
ответа
SQL-инъекция - допустимые подзапросы в T-SQL IN
Я пытаюсь изучить SQL-инъекцию и хотел спросить, можно ли выполнить какой-либо другой запрос, кроме select, в операторе SQL IN. Нормальный синтаксис оператора IN это select * from tableX where ID IN (select userId from tableY where colX='Y') Я хотел…
20 июн '14 в 11:42
1
ответ
Предпочтительный способ обновления базы данных sqlite в Android
Какой способ использовать db.update быстрее и лучше в Android? то есть: построить всю строку условия where вместе со значениями переменных условия claus ИЛИ использовать 4-й параметр для обновления, передав значения переменных переменной clause в ви…
01 мар '11 в 12:24
2
ответа
Laravel orderByRaw массив ID пользователя с привязкой
Итак, на моем сервере есть сценарий, в котором я хочу передать массив идентификаторов на мой сервер Laravel, чтобы получить список пользователей. В то же время я хочу, чтобы возвращаемые результаты запроса к базе данных также сохраняли тот же порядо…
22 мар '17 в 11:56
2
ответа
Являются ли ASP.net __EVENTTARGET и __EVENTARGUMENT подверженными SQL-инъекциям?
Проверка безопасности была проведена в отношении одного из наших приложений ASP.net, и в результатах теста была возвращена экспозиция SQL-инъекций, которая считается элементом высокого риска. Выполненный тест передал инструкцию SQL в качестве значен…
05 апр '10 в 19:09
1
ответ
Как очистить переменные, чтобы предотвратить инъекции sql - союз выбора?
Я прочитал много документов для предотвращения инъекций SQL. они сказали, используя PDO а также mysql_real_escape_string, Я программирую код BBS (в старом стиле...), и люди, использующие мой код BBS, делают простой код, такой как: select * from $g4[…
12 май '12 в 01:49
1
ответ
Запрос о внедрении SQL на веб-страницах
Предположим, у вас есть веб-страница, требующая ввода имени пользователя и пароля для аутентификации. Имя пользователя "abs " и пароль "1234abcd " - вы получаете вход в свой профиль. Но мой вопрос: почему, если я ввожу "abs '- " в поле имени пользов…
08 дек '16 в 11:13
2
ответа
Как я могу ограничить SQL-запрос, чтобы быть неразрушающим?
Я планирую создать приложение для просмотра журналов Django с мощными фильтрами. Я бы хотел, чтобы пользователь мог тонко фильтровать результаты с помощью некоторых пользовательских (возможно, специфичных для БД) запросов SELECT. Тем не менее, я не …
21 фев '10 в 08:48
1
ответ
Как использовать значения в кортеже в несколько раз при выполнении выполнить в sqlite3
Я пытаюсь использовать функцию execute sqlite3 для очистки полученной строки. Тем не менее, я не могу сделать это в моем случае, потому что я не могу понять, как использовать значения в кортеже более одного раза. Что я могу сделать, это, cursor.exec…
05 ноя '18 в 04:01
2
ответа
Предотвращение SQL-инъекций с использованием регулярных выражений
Я знаю, что так неправильно защищать SQL-инъекцию таким образом (регулярное выражение), и я должен использовать параметризованные запросы, но на этот раз у меня особая ситуация. Я пишу программу генератора форм, и мне нужно написать сложный пользова…
20 фев '11 в 07:59
0
ответов
Как я могу ввести запрос в базу данных, которая рассчитывает?
Я столкнулся с проблемой, когда я уверен, что есть инъекция sql (на моем собственном веб-сайте), и я подтверждаю это с помощью sqlmap. сервер / база данных-сервер вычисляет арифметическую операцию и помещает ее в тело примера страницы, если я делаю:…
24 июл '18 в 12:41
2
ответа
Лучший способ избежать массива данных по запросу MysQl nodeJS
Таким образом, у меня есть следующий объект с данными, предоставленными пользователем для регистрации: var dataToInsert = { userName: 'Wilson J', userEmail: 'WilsonJ@gmail.com', userAddress: '2020 St.', userCellPhone: '95587412', } И я использую сле…
19 окт '18 в 11:49
2
ответа
Django, если я использую сырой SQL, какие шаги я должен предпринять, чтобы избежать атак внедрения SQL?
Я читал, что ORM должен минимизировать возможности атак с использованием SQL-инъекций. Однако в Django иногда ORM несколько ограничен, и мне нужно использовать сырой SQL. Какие шаги следует предпринять, чтобы избежать атак с использованием SQL-инъек…
15 июл '14 в 08:42
2
ответа
Как я могу защитить этот скрипт PHP?
Может кто-нибудь предложить какие-либо предложения о том, как защитить этот скрипт PHP от SQL инъекций: <?php include("config.php"); if(isset($_POST['lastmsg'])) { $lastmsg = mysqli_real_escape_string($_GET['lastmsg']); $result=mysql_query("selec…
15 апр '11 в 19:23
6
ответов
Защитить от внедрения SQL
Я занимаюсь разработкой веб-сайта и пытаюсь обеспечить безопасность соединения. Я использовал addslashes функция на $login чтобы остановить SQL-инъекцию, но некоторые друзья сказали мне, что недостаточно безопасности. Тем не менее, они не показали м…
20 янв '11 в 16:14
2
ответа
Лучший способ предотвратить SQL-инъекцию при подготовке оператора невозможен
Мне приходится работать на старом сайте с серьезными проблемами безопасности: SQL-инъекции действительно легко выполнить. Очевидно, что лучший способ предотвратить такого рода атаки - избежать того, что используется в запросе (подготовить операторы …
09 июн '11 в 13:56
3
ответа
Влияет ли использование подготовленного оператора для предотвращения внедрения SQL на производительность?
По-видимому, лучший способ предотвратить внедрение SQL-кода - использовать подготовленные операторы. Однако подготовленные заявления предназначены для чего-то совсем другого: В системах управления базами данных подготовленный оператор или параметриз…
22 янв '15 в 08:01