Pertanyaan yang diberi tag «sql-injection»

Jawaban pertanyaan ini adalah upaya komunitas . Edit jawaban yang ada untuk meningkatkan pos ini. Saat ini tidak menerima jawaban atau interaksi baru. Anda telah men-download Stack Overflow di atas : Каким образом избежать SQL-инъекций в PHP? Jika input pengguna dimasukkan tanpa modifikasi ke dalam query SQL, maka aplikasi menjadi …

2773 php  mysql  sql  security  sql-injection 

Apakah ada fungsi catchall di suatu tempat yang berfungsi dengan baik untuk membersihkan input pengguna untuk injeksi SQL dan serangan XSS, sementara masih memungkinkan jenis tag HTML tertentu?

1124 php  security  xss  sql-injection  user-input 

Hanya melihat: (Sumber: https://xkcd.com/327/ ) Apa yang dilakukan SQL ini: Robert'); DROP TABLE STUDENTS; -- Saya tahu keduanya 'dan --untuk komentar, tetapi bukankah kata itu DROPdikomentari juga karena itu adalah bagian dari baris yang sama?

1094 security  validation  sql-injection 

Katakanlah saya memiliki kode seperti ini: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Dokumentasi PDO mengatakan: Parameter untuk pernyataan yang disiapkan tidak perlu dikutip; pengemudi menanganinya untuk Anda. Apakah hanya itu yang harus saya lakukan untuk menghindari suntikan …

660 php  security  pdo  sql-injection 

Apakah ada kemungkinan injeksi SQL bahkan ketika menggunakan mysql_real_escape_string()fungsi? Pertimbangkan situasi sampel ini. SQL dibuat dalam PHP seperti ini: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Saya telah mendengar banyak orang mengatakan kepada saya bahwa kode seperti itu masih berbahaya dan …

644 php  mysql  sql  security  sql-injection 

Bagaimana pernyataan yang disiapkan membantu kita mencegah serangan injeksi SQL ? Wikipedia mengatakan: Pernyataan yang disiapkan tahan terhadap injeksi SQL, karena nilai parameter, yang dikirim kemudian menggunakan protokol yang berbeda, tidak perlu melarikan diri dengan benar. Jika templat pernyataan asli tidak berasal dari input eksternal, injeksi SQL tidak dapat terjadi. …

172 sql  security  sql-injection  prepared-statement 

Saya mencoba untuk menempatkan beberapa injeksi anti sql di Jawa dan saya merasa sangat sulit untuk bekerja dengan fungsi string "replaceAll". Pada akhirnya saya membutuhkan fungsi yang akan mengkonversi semua yang ada \ke \\, "ke \", 'ke \', dan \nke apa pun \\nsehingga ketika string dievaluasi oleh MySQL, suntikan SQL …

146 java  sql  regex  escaping  sql-injection 

Saya menyadari bahwa kueri SQL berparameter adalah cara optimal untuk membersihkan masukan pengguna saat membuat kueri yang berisi masukan pengguna, tetapi saya bertanya-tanya apa yang salah dengan mengambil masukan pengguna dan melepaskan tanda kutip tunggal dan mengelilingi seluruh string dengan tanda kutip tunggal. Berikut kodenya: sSanitizedInput = "'" & Replace(sInput, …

142 sql  security  sql-server-2000  sql-injection  sanitization 

Saya tahu bahwa PreparedStatements menghindari / mencegah SQL Injection. Bagaimana cara melakukannya? Apakah kueri formulir akhir yang dibuat menggunakan PreparedStatements akan berupa string atau sebaliknya?

122 java  sql  jdbc  prepared-statement  sql-injection 

Sebelumnya hari ini sebuah pertanyaan telah diajukan mengenai strategi validasi input di aplikasi web . Jawaban teratas, pada saat penulisan, menyarankan PHPhanya dengan menggunakan htmlspecialcharsdan mysql_real_escape_string. Pertanyaan saya adalah: Apakah ini selalu cukup? Apakah ada lagi yang harus kita ketahui? Di mana fungsi-fungsi ini rusak?

116 php  security  xss  sql-injection 

Saya sangat baru dalam bekerja dengan database. Sekarang saya bisa menulis SELECT, UPDATE, DELETE, dan INSERTperintah. Tetapi saya telah melihat banyak forum tempat kami lebih suka menulis: SELECT empSalary from employee where salary = @salary ...dari pada: SELECT empSalary from employee where salary = txtSalary.Text Mengapa kami selalu lebih suka …

114 sql  sql-server  sql-injection 

Dalam hal injeksi SQL , saya sepenuhnya memahami perlunya parameterisasi stringparameter; itulah salah satu trik tertua dalam buku ini. Tapi kapan bisa dibenarkan untuk tidak membuat parameterisasi SqlCommand? Apakah ada tipe data yang dianggap "aman" untuk tidak dijadikan parameter? Sebagai contoh: Saya tidak menganggap diri saya berada di dekat seorang …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

Kami sedang berdiskusi lagi di sini tentang penggunaan kueri sql parametrized dalam kode kami. Kami memiliki dua sisi dalam diskusi: Saya dan beberapa orang lain yang mengatakan bahwa kami harus selalu menggunakan parameter untuk melindungi dari suntikan sql dan orang lain yang merasa tidak perlu. Sebaliknya mereka ingin mengganti satu …

109 c#  asp.net  sql-server  sql-injection 

Saya memahami bahwa Anda TIDAK PERNAH mempercayai masukan pengguna dari formulir, terutama karena kemungkinan injeksi SQL. Namun, apakah ini juga berlaku untuk formulir di mana satu-satunya masukan adalah dari dropdown (lihat di bawah)? Saya menyimpan $_POST['size']ke Sesi yang kemudian digunakan di seluruh situs untuk menanyakan berbagai database (dengan mysqlikueri Pilih) …

96 php  mysql  mysqli  sql-injection 

Apakah mungkin untuk mencegah injeksi SQL di Node.js (sebaiknya dengan modul) dengan cara yang sama seperti PHP telah Mempersiapkan Pernyataan yang melindunginya. Jika ya, bagaimana caranya? Jika tidak, apa saja contoh yang mungkin mengabaikan kode yang saya berikan (lihat di bawah). Beberapa Konteks: Saya membuat aplikasi web dengan back-end stack …

88 javascript  mysql  node.js  sql-injection  node-mysql