Pertanyaan yang diberi tag «sql-injection»

Injeksi SQL adalah teknik injeksi kode, digunakan untuk menyerang aplikasi berbasis data, di mana pernyataan SQL berbahaya dimasukkan ke dalam bidang entri untuk dieksekusi (misalnya untuk membuang konten database ke penyerang).

28
Bagaimana saya bisa mencegah injeksi SQL dalam PHP?
Jawaban pertanyaan ini adalah upaya komunitas . Edit jawaban yang ada untuk meningkatkan pos ini. Saat ini tidak menerima jawaban atau interaksi baru. Anda telah men-download Stack Overflow di atas : Каким образом избежать SQL-инъекций в PHP? Jika input pengguna dimasukkan tanpa modifikasi ke dalam query SQL, maka aplikasi menjadi …



7
Apakah pernyataan yang disiapkan PDO cukup untuk mencegah injeksi SQL?
Katakanlah saya memiliki kode seperti ini: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Dokumentasi PDO mengatakan: Parameter untuk pernyataan yang disiapkan tidak perlu dikutip; pengemudi menanganinya untuk Anda. Apakah hanya itu yang harus saya lakukan untuk menghindari suntikan …

4
Injeksi SQL yang berkeliling mysql_real_escape_string ()
Apakah ada kemungkinan injeksi SQL bahkan ketika menggunakan mysql_real_escape_string()fungsi? Pertimbangkan situasi sampel ini. SQL dibuat dalam PHP seperti ini: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Saya telah mendengar banyak orang mengatakan kepada saya bahwa kode seperti itu masih berbahaya dan …

9
Bagaimana pernyataan yang disiapkan dapat melindungi dari serangan injeksi SQL?
Bagaimana pernyataan yang disiapkan membantu kita mencegah serangan injeksi SQL ? Wikipedia mengatakan: Pernyataan yang disiapkan tahan terhadap injeksi SQL, karena nilai parameter, yang dikirim kemudian menggunakan protokol yang berbeda, tidak perlu melarikan diri dengan benar. Jika templat pernyataan asli tidak berasal dari input eksternal, injeksi SQL tidak dapat terjadi. …

12
Java - escape string untuk mencegah injeksi SQL
Saya mencoba untuk menempatkan beberapa injeksi anti sql di Jawa dan saya merasa sangat sulit untuk bekerja dengan fungsi string "replaceAll". Pada akhirnya saya membutuhkan fungsi yang akan mengkonversi semua yang ada \ke \\, "ke \", 'ke \', dan \nke apa pun \\nsehingga ketika string dievaluasi oleh MySQL, suntikan SQL …

18
Dapatkah saya melindungi dari injeksi SQL dengan mengosongkan kutip tunggal dan memasukkan masukan pengguna dengan tanda kutip tunggal?
Saya menyadari bahwa kueri SQL berparameter adalah cara optimal untuk membersihkan masukan pengguna saat membuat kueri yang berisi masukan pengguna, tetapi saya bertanya-tanya apa yang salah dengan mengambil masukan pengguna dan melepaskan tanda kutip tunggal dan mengelilingi seluruh string dengan tanda kutip tunggal. Berikut kodenya: sSanitizedInput = "'" & Replace(sInput, …




12
Apakah aman untuk tidak membuat parameter kueri SQL jika parameternya bukan string?
Dalam hal injeksi SQL , saya sepenuhnya memahami perlunya parameterisasi stringparameter; itulah salah satu trik tertua dalam buku ini. Tapi kapan bisa dibenarkan untuk tidak membuat parameterisasi SqlCommand? Apakah ada tipe data yang dianggap "aman" untuk tidak dijadikan parameter? Sebagai contoh: Saya tidak menganggap diri saya berada di dekat seorang …

21
Menghindari injeksi SQL tanpa parameter
Kami sedang berdiskusi lagi di sini tentang penggunaan kueri sql parametrized dalam kode kami. Kami memiliki dua sisi dalam diskusi: Saya dan beberapa orang lain yang mengatakan bahwa kami harus selalu menggunakan parameter untuk melindungi dari suntikan sql dan orang lain yang merasa tidak perlu. Sebaliknya mereka ingin mengganti satu …

11
Apakah saya harus berhati-hati terhadap injeksi SQL jika saya menggunakan dropdown?
Saya memahami bahwa Anda TIDAK PERNAH mempercayai masukan pengguna dari formulir, terutama karena kemungkinan injeksi SQL. Namun, apakah ini juga berlaku untuk formulir di mana satu-satunya masukan adalah dari dropdown (lihat di bawah)? Saya menyimpan $_POST['size']ke Sesi yang kemudian digunakan di seluruh situs untuk menanyakan berbagai database (dengan mysqlikueri Pilih) …

5
Mencegah injeksi SQL di Node.js
Apakah mungkin untuk mencegah injeksi SQL di Node.js (sebaiknya dengan modul) dengan cara yang sama seperti PHP telah Mempersiapkan Pernyataan yang melindunginya. Jika ya, bagaimana caranya? Jika tidak, apa saja contoh yang mungkin mengabaikan kode yang saya berikan (lihat di bawah). Beberapa Konteks: Saya membuat aplikasi web dengan back-end stack …
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.