Resultados de la búsqueda a petición "sql-injection"
¿Son suficientes htmlspecialchars para evitar una inyección SQL en una variable entre comillas simples?
Aunque muchas fuentes citan elhtmlspecialchars funcionar conENT_QUOTES serno suficiente para evitar la inyección de SQL, ninguno de ellos proporciona una prueba del concepto. No se me ocurre ninguna posibilidad. Consideremos el siguiente ...
Sin interactividad del usuario ¿Puedo obtener la inyección SQL?
Tengo páginas que solo muestran datos de tablas DB, las páginas php solo muestran la información que no tienen botones, enlaces, menús desplegables o formularios. Estoy usando el viejo mysql y no el mysqli o PDO para la sintaxis ¿Todavía puedo ...
¿Qué es la inyección SQL? [duplicar]
Posibles duplicados: Inyección XKCD sql - explique [https://stackoverflow.com/questions/332365/xkcd-sql-injection-please-explain] ¿Qué es la inyección SQL? [https://stackoverflow.com/questions/601300/what-is-sql-injection] He visto el término ...
¿Es seguro mysqli_real_escape_string?
Soy nuevo en PHP y me di cuenta de que la conexión de mi base de datos, usando un formulario php (con entradas de texto de usuario y contraseña) era totalmente insegura: Esto funcionaba, pero no era seguro: <?php ...
RegEx para detectar inyección SQL
¿Existe una expresión regular que pueda detectar SQL en una cadena? ¿Alguien tiene una muestra de algo que hayan usado antes para compartir?
¿La entrada hexadecimal es suficiente para desinfectar las consultas SQL?
Estaba leyendo anoche sobre cómo prevenir las inyecciones de SQL, y me encontré con esta respuesta: ¿Cómo puedo evitar la inyección de SQL en ...
¿Tengo que usar mysql_real_escape_string si enlazo parámetros?
Tengo el siguiente código: function dbPublish($status) { global $dbcon, $dbtable; if(isset($_GET['itemId'])) { $sqlQuery = 'UPDATE ' . $dbtable . ' SET active = ? WHERE id = ?'; $stmt = $dbcon->prepare($sqlQuery); ...
Inyección SQL y la cláusula LIMIT
Esta pregunta es para resolver una discusión entre un compañero de trabajo y yo. Digamos que tenemos la siguiente consulta, ejecutada en un servidor LAMP estándar. SELECT field1, field2, field3 FROM some_table WHERE some_table.field1 = ...
¿Las consultas mysql dinámicas con sql escapan son tan seguras como las declaraciones preparadas?
Tengo una aplicación que se beneficiaría enormemente al usar consultas dinámicas de mysql en combinación con la cadena de escape real mysql (mysqli). Si ejecuto todos los datos recibidos del usuario a través de mysql real escape, ¿sería ...
¿Prevenir la inyección de código sin limitar la entrada del usuario? [cerrado]
Ok, estoy al tanto de los métodos de desinfección / verificación de entrada, como el uso de una lista blanca, lista negra, mysqli_escape (o lo que sea que esté en PHP), pero digamos que tiene un sitio donde, por alguna razón, en lugar de que los ...