Questions sur sql-injection

12
réponses

Comment fonctionne L'injection SQL de la BD" Bobby Tables " XKCD?

Simplement en la regardant: (Source: https://xkcd.com/327/ ) Qu'est-ce SQL n': ... les commentaires, mais ne possède pas le mot DROP get a commenté ainsi depuis qu'elle est partie de la même ligne?
demandé sur 2008-12-02 00:50:10
18
réponses

Quelle est la meilleure méthode pour assainir les entrées des utilisateurs avec PHP?

y a-t-il une fonction catchall quelque part qui fonctionne bien pour assainir les entrées des utilisateurs pour l'injection SQL et les attaques XSS, tout en permettant certains types de balises html?
demandé sur 2008-09-25 00:20:39
7
réponses

Les déclarations préparées par AOP sont-elles suffisantes pour prévenir L'injection de SQL?

disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM us ... arées contre l'injection de SQL. Dans ce contexte, Je ne me soucie pas de XSS ou d'autres vulnérabilités possibles.
demandé sur 2008-09-25 19:43:35
4
réponses

L'injection SQL qui contourne mysql la vraie chaîne d'échappement()

y a-t-il une possibilité D'injection SQL même en utilisant la fonction mysql_real_escape_string() ? considérez ... ne fonctionne pas. connaissez-vous une injection possible qui pourrait passer par le code PHP ci-dessus?
demandé sur 2011-04-21 11:56:11
9
réponses

Comment les déclarations préparées peuvent-elles protéger contre les attaques par injection SQL?

Comment faire préparées nous aider à prévenir les SQL injection attaques? Wikipedia dit: ... Je ne vois pas très bien la raison. Quelle serait une explication simple en anglais facile et quelques exemples?
demandé sur 2011-11-25 03:17:08
18
réponses

Puis-je me protéger contre L'Injection de SQL en échappant à un seul devis et en entourant l'entrée de l'utilisateur avec un seul devis?

je me rends compte que les requêtes SQL paramétrées sont le moyen optimal d'assainir les entrées de l'utilisateur lors ... ne façon spécifique de monter une attaque D'injection SQL contre cette méthode d'assainissement, j'aimerais la voir.
demandé sur 2008-09-26 16:41:25
6
réponses

Est-ce que htmlspecialchars et mysql real escape string protègent mon code PHP de l'injection?

plus tôt aujourd'hui, une question a été posée concernant stratégies de validation des entrées dans les applications w ... uestion est: Est-ce toujours suffisant? Est-il plus que nous devrions savoir? Où ces fonctions se décomposent-elles?
demandé sur 2008-09-21 12:58:26
21
réponses

Éviter L'injection SQL sans paramètres

nous avons une autre discussion ici au travail sur l'utilisation des requêtes SQL paramétrées dans notre code. Nous av ... n'ait pu briser la sécurité simple de la fonction SafeDBString, j'ai obtenu beaucoup d'autres bons arguments. Merci!
demandé sur 2009-05-26 16:38:20
11
réponses

Dois-je me prémunir contre L'injection SQL si j'utilisais un dropdown?

je comprends que vous ne devez jamais faire confiance à l'utilisateur entrée à partir d'un formulaire, principalement ... tion> <option value="Small">Small</option> </select> <input type="submit"> </form>
demandé sur 2014-03-20 17:16:39
9
réponses

Comment une préparation évite-t-elle ou empêche-t-elle L'injection de SQL?

je sais que les traitements préparés évitent/empêchent L'Injection de SQL. Comment faut-il faire? Est-ce que la requête finale du formulaire qui est construite à L'aide de pré-compilations sera une chaîne ou autrement?
demandé sur 2009-10-17 16:58:29
5
réponses

Prévention de L'injection SQL dans le noeud.js

est-il possible de prévenir les injections SQL dans le noeud.js (de préférence avec un module) de la même manière que ... ery('INSERT INTO users SET ?', post, function(err, results) { // Can a Sql injection happen here? });
demandé sur 2013-04-03 07:55:53
6
réponses

Comment un assainissement qui échappe à des guillemets simples peut-il être vaincu par L'injection SQL dans SQL Server?

Pour commencer, je suis bien conscient que les requêtes paramétrées sont la meilleure option, mais je me demande ce qu ... e à l'utilisation de requêtes paramétrées, mais je veux savoir comment ce que j'ai décrit est vulnérable. Des idées?
demandé sur 2013-03-21 04:31:08
7
réponses

La fonction ultime de nettoyage / sécurité

j'ai beaucoup d'entrées utilisateur de $_GET et $_POST ... En ce moment, j'écris toujours mysql_real_escape_string($_G ... s($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }
demandé sur 2010-11-19 13:09:48
2
réponses

CSRF, XSS et SQL Injection attack prevention in JSF

j'ai une application web construite sur JSF avec MySQL comme DB. J'ai déjà mis en œuvre le code pour empêcher CSRF dan ... site OWASP et leurs cheat sheets . dois-je prendre soin d'autres vecteurs d'attaque potentiels?
demandé sur 2011-10-11 10:30:15
4
réponses

Requêtes paramétrées avec des conditions similaires et dans des conditions

les requêtes paramétrées dans .Net ressemblent toujours à ceci dans les exemples: SqlCommand comm = new SqlComm ... ut-être avec des guillemets simples et d'autres mauvais caractères Quelle est la bonne syntaxe pour cela?
demandé sur 2008-11-19 22:56:07
2
réponses

Comment puis-je ajouter une entrée fournie par l'utilisateur à une déclaration SQL?

j'essaie de créer une déclaration SQL en utilisant des données fournies par l'utilisateur. J'utilise le même code dans ... e me le dire que je ne devrais pas faire ça à cause de "SQL injection". Comment faire "de la bonne façon"?
demandé sur 2016-02-02 23:39:31
20
réponses

L'injection SQL est-elle un risque aujourd'hui?

j'ai lu sur les attaques par injection SQL et comment les éviter, bien que je ne puisse jamais sembler faire les exempl ... os jours même les novices sont protégés des choses comme les citations magiques? j'utilise PHP5 sur Ubuntu.
demandé sur 2009-11-06 00:40:56
5
réponses

Est-ce que L'utilisation de SqlCommand paramétrisé rend mon programme immunisé à L'injection SQL?

je suis conscient que injection SQL est plutôt dangereux . Maintenant dans mon code C# je compose des requêtes paramé ... est-ce que mon code sera automatiquement immunisé contre L'injection SQL? Dois-je faire quelque chose de plus?
demandé sur 2011-08-24 15:38:21
5
réponses

Quel est L'équivalent AOP de la fonction mysql real escape string?

je modifie mon code en remplaçant mysql_* par PDO . Dans mon code, j'avais mysql_real_escape_string() . Qu'en est-il de L'équivalent en AOP?
demandé sur 2012-12-23 20:32:03
8
réponses

Protection D'Injection classique ASP SQL

Quelle est la meilleure façon de se protéger contre l'injection sql pour une application asp classique? pour info, je l'utilise avec un accès DB. (Je n'ai pas écrit l'application)
demandé sur 2008-09-29 21:49:01
4
réponses

La preparedStatement évite-t-elle L'injection SQL? [dupliquer]

cette question a déjà une réponse ici: comment une déclaration préparée évite-t-e ... pérations d'insertion. Est le preparedStatements sûr? de plus, cette déclaration posera-t-elle un problème?
demandé sur 2010-12-02 11:21:56
6
réponses

Quelqu'un a piraté ma base de données - comment?

Quelqu'un a piraté ma base de données et a fait tomber la table. dans ma page PHP il y a une seule requête où ... _con); Et register_globals est désactivé . alors, comment ma base de données a été piratée?
demandé sur 2010-11-22 11:40:18
8
réponses

Un bon moyen d'échapper les guillemets dans une chaîne de requête de base de données?

j'ai essayé toutes sortes de modules Python et ils s'échappent trop ou de la mauvaise manière. Quel est le meilleur moyen que vous avez trouvé pour échapper aux citations (", ') en Python?
demandé sur 2009-05-22 13:16:28
5
réponses

Quelles sont les bonnes façons de prévenir L'injection SQL? [dupliquer]

cette question a déjà une réponse ici: Comment puis-je ajouter une entrée fournie ... ulement le format d'adresse e-mail ou un nom de boîte de texte de sorte qu'il n'accepte pas les caractères spéciaux?
demandé sur 2013-01-17 14:01:55
8
réponses

Injection SQL sur Insertion

j'ai créé une petite page Web d'enquête sur notre Intranet d'entreprise. Cette page web n'est pas accessible de l'ext ... ert avec les commentaires de la zone de texte? Si c'est le cas, comment puis-je m'en prémunir en utilisant. net 2.0?
demandé sur 2009-03-25 16:25:42
2
réponses

Les noms de table et de colonne de la base de données SQL difficiles à deviner aident-ils à prévenir L'injection de SQL? [fermé]

je viens de rencontrer un développeur qui a préparé chaque nom de table et de colonne dans ses bases de données MYSQL ... 'ai jamais rencontré cette pratique/conseil avant. Comment cela aide-t-il à prévenir les attaques par injection SQL?
demandé sur 2012-11-19 20:56:15
8
réponses

Attraper L'Injection SQL et D'autres requêtes Web malveillantes

je suis à la recherche d'un outil qui peut détecter les requêtes malveillantes (telles que l'injection SQL évidente ob ... la communauté afin que je puisse voir quelles sont mes options en ce qui a trait à la mise en œuvre et à l'approche.
demandé sur 2008-08-04 18:40:58
6
réponses

En PHP, lors de la soumission de chaînes de caractères à la base de données, devrais-je m'occuper des caractères illégaux en utilisant htmlspécialchars() ou utiliser une expression régulière?

je travaille sur un formulaire avec la possibilité pour l'utilisateur d'utiliser des caractères illégaux/spéciaux dans ... tères dans la chaîne et j'ai utilisé htmlspécialchars () . Cependant, y a-t-il une méthode meilleure/plus rapide?
demandé sur 2010-06-08 00:46:31
3
réponses

SQL Server-Dynamic PIVOT Table-SQL Injection

désolé pour la longue question, mais ceci contient tout le SQL que j'ai utilisé pour tester le scénario pour, espérons ... , est-ce que quelqu'un connaît une façon d'effectuer un PIVOT dynamique sans risquer des attaques par Injection SQL?
demandé sur 2009-09-17 18:55:45
3
réponses

Est mysql véritable évasion chaîne de caractères() cassé?

certaines personnes croient que mysql_real_escape_string() a des défauts et ne peut pas protéger votre requête même ... e fonction pour créer votre propre sorte de déclarations préparées? avec proofcode, s'il vous plaît.
demandé sur 2011-03-13 14:03:48