Questions sur sql-injection

12
réponses

Comment fonctionne L'injection SQL de la BD" Bobby Tables " XKCD?

Simplement en la regardant: (Source: https://xkcd.com/327/ ) Qu'est-ce SQL n': ... les commentaires, mais ne possède pas le mot DROP get a commenté ainsi depuis qu'elle est partie de la même ligne?
demandé sur 2008-12-02 00:50:10
18
réponses

Quelle est la meilleure méthode pour assainir les entrées des utilisateurs avec PHP?

y a-t-il une fonction catchall quelque part qui fonctionne bien pour assainir les entrées des utilisateurs pour l'injection SQL et les attaques XSS, tout en permettant certains types de balises html?
demandé sur 2008-09-25 00:20:39
7
réponses

Les déclarations préparées par AOP sont-elles suffisantes pour prévenir L'injection de SQL?

disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM us ... arées contre l'injection de SQL. Dans ce contexte, Je ne me soucie pas de XSS ou d'autres vulnérabilités possibles.
demandé sur 2008-09-25 19:43:35
4
réponses

L'injection SQL qui contourne mysql la vraie chaîne d'échappement()

y a-t-il une possibilité D'injection SQL même en utilisant la fonction mysql_real_escape_string() ? considérez ... ne fonctionne pas. connaissez-vous une injection possible qui pourrait passer par le code PHP ci-dessus?
demandé sur 2011-04-21 11:56:11
9
réponses

Comment les déclarations préparées peuvent-elles protéger contre les attaques par injection SQL?

Comment faire préparées nous aider à prévenir les SQL injection attaques? Wikipedia dit: ... Je ne vois pas très bien la raison. Quelle serait une explication simple en anglais facile et quelques exemples?
demandé sur 2011-11-25 03:17:08
18
réponses

Puis-je me protéger contre L'Injection de SQL en échappant à un seul devis et en entourant l'entrée de l'utilisateur avec un seul devis?

je me rends compte que les requêtes SQL paramétrées sont le moyen optimal d'assainir les entrées de l'utilisateur lors ... ne façon spécifique de monter une attaque D'injection SQL contre cette méthode d'assainissement, j'aimerais la voir.
demandé sur 2008-09-26 16:41:25
6
réponses

Est-ce que htmlspecialchars et mysql real escape string protègent mon code PHP de l'injection?

plus tôt aujourd'hui, une question a été posée concernant stratégies de validation des entrées dans les applications w ... uestion est: Est-ce toujours suffisant? Est-il plus que nous devrions savoir? Où ces fonctions se décomposent-elles?
demandé sur 2008-09-21 12:58:26
21
réponses

Éviter L'injection SQL sans paramètres

nous avons une autre discussion ici au travail sur l'utilisation des requêtes SQL paramétrées dans notre code. Nous av ... n'ait pu briser la sécurité simple de la fonction SafeDBString, j'ai obtenu beaucoup d'autres bons arguments. Merci!
demandé sur 2009-05-26 16:38:20
9
réponses

Comment une préparation évite-t-elle ou empêche-t-elle L'injection de SQL?

je sais que les traitements préparés évitent/empêchent L'Injection de SQL. Comment faut-il faire? Est-ce que la requête finale du formulaire qui est construite à L'aide de pré-compilations sera une chaîne ou autrement?
demandé sur 2009-10-17 16:58:29
11
réponses

Dois-je me prémunir contre L'injection SQL si j'utilisais un dropdown?

je comprends que vous ne devez jamais faire confiance à l'utilisateur entrée à partir d'un formulaire, principalement ... tion> <option value="Small">Small</option> </select> <input type="submit"> </form>
demandé sur 2014-03-20 17:16:39
5
réponses

Prévention de L'injection SQL dans le noeud.js

est-il possible de prévenir les injections SQL dans le noeud.js (de préférence avec un module) de la même manière que ... ery('INSERT INTO users SET ?', post, function(err, results) { // Can a Sql injection happen here? });
demandé sur 2013-04-03 07:55:53
6
réponses

Comment un assainissement qui échappe à des guillemets simples peut-il être vaincu par L'injection SQL dans SQL Server?

Pour commencer, je suis bien conscient que les requêtes paramétrées sont la meilleure option, mais je me demande ce qu ... e à l'utilisation de requêtes paramétrées, mais je veux savoir comment ce que j'ai décrit est vulnérable. Des idées?
demandé sur 2013-03-21 04:31:08
7
réponses

La fonction ultime de nettoyage / sécurité

j'ai beaucoup d'entrées utilisateur de $_GET et $_POST ... En ce moment, j'écris toujours mysql_real_escape_string($_G ... s($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }
demandé sur 2010-11-19 13:09:48
2
réponses

CSRF, XSS et SQL Injection attack prevention in JSF

j'ai une application web construite sur JSF avec MySQL comme DB. J'ai déjà mis en œuvre le code pour empêcher CSRF dan ... site OWASP et leurs cheat sheets . dois-je prendre soin d'autres vecteurs d'attaque potentiels?
demandé sur 2011-10-11 10:30:15
4
réponses

Requêtes paramétrées avec des conditions similaires et dans des conditions

les requêtes paramétrées dans .Net ressemblent toujours à ceci dans les exemples: SqlCommand comm = new SqlComm ... ut-être avec des guillemets simples et d'autres mauvais caractères Quelle est la bonne syntaxe pour cela?
demandé sur 2008-11-19 22:56:07
3
réponses

Python best practice et securest pour se connecter à MySQL et exécuter des requêtes

Quelle est la façon la plus sûre d'exécuter des requêtes sur mysql, je suis conscient des dangers liés à MySQL et à L'inj ... nterroger et faire des inserts en toute sécurité sur une base de données MySQL via python sans risquer mysql injection?
demandé sur 2011-10-28 16:38:48
13
réponses

Outils d'essai de pénétration [clos]

nous avons des centaines de sites Web qui ont été développés dans asp, .net et java et nous payons beaucoup d'argent pour ... (payant ou gratuit) pour ce faire? ou.. existe-il des articles techniques qui peuvent m'aider à développer cet outil?
demandé sur 2008-09-16 17:29:35
8
réponses

Passer le nom de la table comme paramètre dans psycopg2

j'ai le code suivant, en utilisant pscyopg2: sql = 'select %s from %s where utctime > %s and utctime < %s order by ... %s from ' + voyage + ' where utctime > %s and utctime < %s order by utctime asc;' santé pour toutes les idées.
demandé sur 2012-12-10 04:23:10
2
réponses

Comment puis-je ajouter une entrée fournie par l'utilisateur à une déclaration SQL?

j'essaie de créer une déclaration SQL en utilisant des données fournies par l'utilisateur. J'utilise le même code dans ... e me le dire que je ne devrais pas faire ça à cause de "SQL injection". Comment faire "de la bonne façon"?
demandé sur 2016-02-02 23:39:31
4
réponses

dans quelle mesure les déclarations préparées par les AOP sont-elles sécuritaires?

a commencé à utiliser des déclarations préparées par AOP il n'y a pas si longtemps, et, si j'ai bien compris, cela fait t ... ->execute(); Est-ce vraiment sûr? Dois-je faire autre chose? quoi d'autre dois-je prendre en considération? Merci.
demandé sur 2009-08-22 02:47:09
5
réponses

Est-ce que L'utilisation de SqlCommand paramétrisé rend mon programme immunisé à L'injection SQL?

je suis conscient que injection SQL est plutôt dangereux . Maintenant dans mon code C# je compose des requêtes paramé ... est-ce que mon code sera automatiquement immunisé contre L'injection SQL? Dois-je faire quelque chose de plus?
demandé sur 2011-08-24 15:38:21
4
réponses

Les attaques par injection SQL sont-elles possibles dans le JPA?

je construis une Application Web Java en utilisant Java EE 6 et JSF-2.0, en utilisant l'API de persistance pour toutes le ... equêtes nommées dans EJB-QL pour toutes les opérations. Les attaques par injection SQL sont-elles possibles dans ce cas?
demandé sur 2010-08-09 18:46:56
20
réponses

L'injection SQL est-elle un risque aujourd'hui?

j'ai lu sur les attaques par injection SQL et comment les éviter, bien que je ne puisse jamais sembler faire les exempl ... os jours même les novices sont protégés des choses comme les citations magiques? j'utilise PHP5 sur Ubuntu.
demandé sur 2009-11-06 00:40:56
5
réponses

Quel est L'équivalent AOP de la fonction mysql real escape string?

je modifie mon code en remplaçant mysql_* par PDO . Dans mon code, j'avais mysql_real_escape_string() . Qu'en est-il de L'équivalent en AOP?
demandé sur 2012-12-23 20:32:03
8
réponses

Protection D'Injection classique ASP SQL

Quelle est la meilleure façon de se protéger contre l'injection sql pour une application asp classique? pour info, je l'utilise avec un accès DB. (Je n'ai pas écrit l'application)
demandé sur 2008-09-29 21:49:01
7
réponses
6
réponses

Quelqu'un a piraté ma base de données - comment?

Quelqu'un a piraté ma base de données et a fait tomber la table. dans ma page PHP il y a une seule requête où ... _con); Et register_globals est désactivé . alors, comment ma base de données a été piratée?
demandé sur 2010-11-22 11:40:18
4
réponses

La preparedStatement évite-t-elle L'injection SQL? [dupliquer]

cette question a déjà une réponse ici: comment une déclaration préparée évite-t-e ... pérations d'insertion. Est le preparedStatements sûr? de plus, cette déclaration posera-t-elle un problème?
demandé sur 2010-12-02 11:21:56
3
réponses

L'injection de Rails SQL?

dans les Rails, quand je veux trouver par un utilisateur une valeur donnée et éviter L'injection SQL (escape apostrophes e ... e que la méthode suivante empêche L'injection de SQL ou pas? Post.all(:conditions => {:title => params[:title]})
demandé sur 2010-06-03 03:07:47
5
réponses

Comment fonctionne le paramétrage des requêtes SQL?

je me sens un peu bête de demander cela car je semble être la seule personne dans le monde qui ne comprend pas, Mais voic ... us disons "paramétrage", tout ce que cela signifie est "substitution de chaîne", comme le formatage de%. Est incorrect?
demandé sur 2009-08-12 01:45:18