Injeção de SQL com filtragem php

Eu tenho que injetar um formulário de login para me exercitar sobre um curso de segurança de computadores .... Passei no primeiro nível usando o simples ' like 1=1--no campo de senha, mas agora no segundo nível, tenho que injetar novamente o ...

Impedindo a injeção de código sem limitar a entrada do usuário? [fechadas]

Ok, estou ciente dos métodos de limpeza / verificação de entrada, como usar uma lista de permissões, lista negra, mysqli_escape (ou o que quer que seja em PHP), mas digamos que você tenha um site onde, por algum motivo, em vez de fazer o upload ...

Instruções preparadas e injeções de SQL de segunda ordem

Li aqui em algum lugar que o uso de instruções preparadas no DOP torna seu aplicativo imune apenas a injeções de SQL de primeira ordem, mas não totalmente imune a injeções de segunda ordem. Minha pergunta é: se usamos instruções preparadas em ...

A entrada hexadecimal é suficiente para limpar as consultas SQL?

Eu estava lendo ontem à noite sobre a prevenção de injeções de SQL e deparei-me com esta resposta: Como posso impedir a injeção de SQL em ...

O mysqli_real_escape_string é seguro?

Eu sou novo em PHP e percebi que minha conexão com o banco de dados, usando um formulário php (com entradas de texto de usuário e senha) era totalmente inseguro: Isso estava funcionando, mas não era seguro: <?php ...

Sem interatividade do usuário Ainda posso obter a injeção de SQL

Eu tenho páginas que exibem apenas dados de tabelas de banco de dados, as páginas php exibem apenas as informações de que não têm botões, links, menus suspensos ou formulários. Estou usando o mysql antigo e não o mysqli ou PDO para ...

Htmlspecialchars é suficiente para impedir uma injeção de SQL em uma variável entre aspas simples?

Embora muitas fontes citam ohtmlspecialchars funcionar comENT_QUOTES ser estar nãoo suficiente para impedir a injeção de SQL, nenhum deles fornece uma prova do conceito. Eu não consigo pensar em nenhuma possibilidade. Vamos considerar o seguinte ...

Injeção de sqlite em C # [duplicada]

Esta pergunta já tem uma resposta aqui: vitando a injeção de SQL sem parâmetr [/questions/910465/avoiding-sql-injection-without-parameters] 21 respostasSe eu alterar meu select de String insSQL2 = "select * from Produtos where nome = '" + ...

ColdFusion Query - Proteção contra Injeção

Como usar os parâmetros SQL para obter o conjunto de dados do SQL Server

Estou trabalhando no projeto C # e sou novo nessa tecnologia.Eu quero ler alguns dados do SQL Server 2008, e escrevo o seguinte código