Результаты поиска по запросу "sql-injection"
Достаточно ли htmlspecialchars, чтобы предотвратить внедрение SQL в переменную, заключенную в одинарные кавычки?
Хотя многие источники цитируют
, Обратите внимание, что единственная ситуация, от которой PDO не защитит вас, - это динамические имена таблиц / столбцов. PDO (и mysql_real_escape_string) не будут избегать обратных кавычек `, поэтому старайтесь никогда не использовать динамические имена таблиц или столбцов.
новичок): if(isset($_POST['selection'])) { include_once 'pdo_init.php'; $params_str = str_repeat('?,',count($_POST['selection'])); $params_str = substr($params_str,0,-1); $res = $pdo->prepare('DELETE FROM funcionario WHERE codigo in ...
rails 3 activerecord order - что такое правильный обход SQL инъекций?
скажем, у меня есть страница со списком пользователей, и вы можете сортировать по разным столбцам, при нажатии на кнопку «электронная почта» она передаст sort_by = email sort_direction = asc или desc sort_by = "email" # really params[:sort_by] ...
Нужно ли защищаться от внедрения SQL, если я использовал раскрывающийся список?
Я понимаю, что вы НИКОГДА не должны доверять пользовательскому вводу из формы, в основном из-за вероятности внедрения SQL-кода. Однако относится ли это также к форме, в которой единственным вводом являются выпадающие списки (см. Ниже)? Я ...
SQL-инъекция и предложение LIMIT
Этот вопрос должен уладить спор между мной и коллегой.Допустим, у нас есть следующий запрос, выполненный на стандартном сервере LAMP.
почему вы хотите сначала выполнить добавление косых черт, а затем удалите эти косые черты, прежде чем показывать, что данные и все еще добавления косых черт не так эффективны, как mysql_real_escape_string, используйте mysql_real_escape_string, если вы используете mysql_query, например, функции db для запросов, или я думаю, что PDO с подготовкой - лучший способ , поскольку mysql_real_escape_string является специфичным для БД
нам нужны специфичные для БД функции, такие как mysql_real_escape_string ()? Что он может сделать, чего не делает addlashes ()? На данный момент не обращая внимания на превосходную альтернативу параметризованных запросов, является ли ...
эмулированные подготовленные заявления против реально подготовленных утверждений
В чем разница между двумя видами подготовленных утверждений? Я думаю, что реально подготовленные операторы требуют поддержки на стороне сервера, которая принимает параметры после анализа и компиляции схемы / шаблона кода SQL, и, я полагаю, это ...
Даже если приложение передает введенное пользователем значение имени в хранимую процедуру безопасным способом, сама процедура объединяет это непосредственно в динамический запрос и поэтому уязвима.
да, почему все еще так много успешных SQL-инъекций? Просто потому, что некоторые разработчики слишком тупы, чтобы использовать параметризованные операторы?