Resultados da pesquisa a pedido "sql-injection"
Alguém invadiu meu banco de dados - como?
Alguém invadiu meu banco de dados e caiu a tabela. Na minha página PHP, há uma única consulta em que estou usando mysql_real_escape_string: $db_host="sql2.netsons.com"; $db_name="xxx"; $username="xxx"; ...
A “entrada de filtro, saída de escape” ainda é válida com o DOP
Eu li isso antes "entrada de filtro, saída de escape", mas a entrada de filtro é realmente necessária quando eu uso o PDO com PHP? Pensei que, com a DOP, não seria necessário filtrar a entrada porque a instrução preparada cuida das injeções de ...
RegEx para detectar injeção SQL
Existe uma expressão regular que pode detectar SQL em uma seqüência de caracteres? Alguém tem uma amostra de algo que eles usaram antes para compartilhar?
como prevenir a injeção de SQL
Estou usando procedimentos armazenados. Para economizar tempo, fiz alguns procedimentos genéricos que usam a ordem dinâmica do sqlin para atualizar. Esse procedimento genérico é: CREATE PROCEDURE [dbo].[SetField] @company_id uniqueidentifier, ...
Livrar-se da injeção SQL sem usar a instrução Prepared
Meu aplicativo tem muitas consultas JDBC gravadas usando o Statement e, portanto, é vulnerável à injeção de SQL. Infelizmente, este aplicativo foi desenvolvido há cerca de 10 anos e provavelmente os desenvolvedores não sabiam sobre a declaração ...
Como executar SQL parametrizado arbitrário em trilhos
Por razões de desempenho, preciso escrever um novo método no meu modelo Rails que execute algum SQL arbitrário: UPDATE table SET col1 = ? AND col2 = ? WHERE id = ?Eu entendo que posso usarActiveRecord::Base.connection.execute ...
Site foi hackeado via SQL Injection
Recentemente, meu site foi invadido por injeção de SQL. O hacker usou a seguinte consulta para obter meu nome de banco de dados. Não consigo entender essa consulta que eles ...
Prevenção contra injeção de SQL no Hibernate
Eu usei o hibernate para interagir com meu banco de dados, agora eu queria tornar minha camada de banco de dados segura contra injeção de SQL, então fiz algumas pesquisas e descobri que minhas consultas deveriam ser parametrizadas, o que ...
Vincular variáveis em uma instrução mysql_query
Exemplo mysql_query: $query=mysql_query("SELECT `col1`, `col2` FROM `table` WHERE `col1`='$escapedvariable' ");Eu sei que o acima não é bom na prática. Melhor consulta usando preparar e executar $pSt = $dbh->prepare('SELECT col1, col2 FROM ...
As consultas dinâmicas do mysql com o sql escapam tão seguras quanto as instruções preparadas?
Eu tenho um aplicativo que se beneficiaria muito usando consultas dinâmicas do mysql em combinação com a seqüência de escape real do mysql (mysqli). Se eu executasse todos os dados recebidos do usuário através do escape real do mysql, seria tão ...