Programmazione sql-injection

28

Come posso impedire l'iniezione di SQL in PHP?

Le risposte a questa domanda sono uno sforzo della comunità . Modifica le risposte esistenti per migliorare questo post. Al momento non accetta nuove risposte o interazioni. Come utilizzare lo Stack Overflow nello Stack Overflow in questo modo : Каким образом избежать SQL-инъекций в PHP? Se l'input dell'utente viene inserito …

2773 php mysql sql security sql-injection

17

Come posso disinfettare l'input dell'utente con PHP?

Esiste da qualche parte una funzione catchall che funziona bene per disinfettare l'input dell'utente per l'iniezione SQL e gli attacchi XSS, pur consentendo alcuni tipi di tag HTML?

1124 php security xss sql-injection user-input

13

Come funziona l'iniezione SQL dal fumetto XKCD "Bobby Tables"?

Solo guardando: (Fonte: https://xkcd.com/327/ ) Cosa fa questo SQL: Robert'); DROP TABLE STUDENTS; -- Conosco entrambi 'e --sono per commenti, ma la parola non DROPviene commentata anche perché fa parte della stessa riga?

1094 security validation sql-injection

7

Le istruzioni preparate per DOP sono sufficienti per prevenire l'iniezione di SQL?

Diciamo che ho un codice come questo: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentazione DOP afferma: I parametri per le istruzioni preparate non devono essere citati; l'autista lo gestisce per te. È davvero tutto ciò che …

660 php security pdo sql-injection

4

Iniezione SQL che aggira mysql_real_escape_string ()

Esiste una possibilità di iniezione SQL anche durante l'utilizzo mysql_real_escape_string() funzione? Considera questa situazione di esempio. SQL è costruito in PHP in questo modo: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Ho sentito numerose persone che mi dicono che un codice …

644 php mysql sql security sql-injection

9

In che modo le istruzioni preparate possono proteggere dagli attacchi SQL injection?

In che modo istruzioni preparate ci aiutano a prevenire gli attacchi di iniezione SQL ? Wikipedia dice: Le istruzioni preparate sono resilienti contro l'iniezione SQL, poiché i valori dei parametri, che vengono trasmessi in seguito utilizzando un protocollo diverso, non devono essere sottoposti a escape correttamente. Se il modello di …

172 sql security sql-injection prepared-statement

12

Java: stringa di escape per impedire l'iniezione SQL

Sto cercando di mettere in atto un'iniezione anti sql in java e sto trovando molto difficile lavorare con la funzione di stringa "replaceAll". Alla fine ho bisogno di una funzione che converta qualsiasi esistente \in \\, qualsiasi "in \", 'in \'e qualsiasi \nin \\nmodo che quando la stringa viene valutata …

146 java sql regex escaping sql-injection

18

Posso proteggere dall'iniezione SQL sfuggendo a virgolette singole e all'input dell'utente circostante con virgolette singole?

Mi rendo conto che le query SQL con parametri sono il modo ottimale per disinfettare l'input dell'utente quando si creano query che contengono input dell'utente, ma mi chiedo cosa c'è di sbagliato nel prendere l'input dell'utente e sfuggire a qualsiasi virgoletta singola e circondare l'intera stringa con virgolette singole. Ecco …

140 sql security sql-server-2000 sql-injection sanitization

10

In che modo un PreparedStatement evita o impedisce l'iniezione di SQL?

So che PreparedStatements evita / previene SQL Injection. Come lo fa? La query del modulo finale che viene costruita utilizzando PreparedStatements sarà una stringa o altrimenti?

122 java sql jdbc prepared-statement sql-injection

6

Htmlspecialchars e mysql_real_escape_string proteggono il mio codice PHP dall'iniezione?

All'inizio di oggi è stata posta una domanda sulle strategie di convalida degli input nelle app Web . La risposta principale, al momento della scrittura, suggerisce di PHPutilizzare solo htmlspecialcharse mysql_real_escape_string. La mia domanda è: è sempre abbastanza? C'è di più che dovremmo sapere? Dove si scompongono queste funzioni?

116 php security xss sql-injection

7

Perché preferiamo sempre utilizzare i parametri nelle istruzioni SQL?

Sono molto nuovo nel lavorare con i database. Ora posso scrivere SELECT, UPDATE, DELETE, e INSERTcomandi. Ma ho visto molti forum in cui preferiamo scrivere: SELECT empSalary from employee where salary = @salary ...invece di: SELECT empSalary from employee where salary = txtSalary.Text Perché preferiamo sempre utilizzare i parametri e …

114 sql sql-server sql-injection

12

È sicuro non parametrizzare una query SQL quando il parametro non è una stringa?

In termini di SQL injection , comprendo perfettamente la necessità di parametrizzare un stringparametro; questo è uno dei trucchi più antichi del libro. Ma quando può essere giustificato non parametrizzare un SqlCommand? Ci sono tipi di dati considerati "sicuri" da non parametrizzare? Per esempio: io non mi considero da nessuna …

113 c# sql sql-injection sqlcommand parameterized-query

21

Evitare l'iniezione di SQL senza parametri

Stiamo avendo un'altra discussione qui al lavoro sull'utilizzo di query sql parametrizzate nel nostro codice. Abbiamo due lati nella discussione: io e alcuni altri che dicono che dovremmo sempre usare i parametri per proteggerci dalle iniezioni sql e gli altri ragazzi che non pensano che sia necessario. Vogliono invece sostituire …

109 c# asp.net sql-server sql-injection

11

Devo proteggermi dall'iniezione SQL se ho utilizzato un menu a discesa?

Capisco che non dovresti MAI fidarti dell'input dell'utente da un modulo, principalmente a causa della possibilità di iniezione SQL. Tuttavia, questo si applica anche a un modulo in cui l'unico input proviene da un menu a discesa (vedi sotto)? Sto salvando il file $_POST['size']in una sessione che viene quindi utilizzato …

96 php mysql mysqli sql-injection

5

Prevenire l'iniezione SQL in Node.js

È possibile impedire le iniezioni SQL in Node.js (preferibilmente con un modulo) nello stesso modo in cui PHP aveva istruzioni preparate che le proteggevano. Se é cosi, come? In caso contrario, quali sono alcuni esempi che potrebbero aggirare il codice che ho fornito (vedi sotto). Alcuni contesti: Sto realizzando un'applicazione …

88 javascript mysql node.js sql-injection node-mysql

Domande taggate «sql-injection»