Результаты поиска по запросу "sql-injection"

2 ответа

Достаточно ли htmlspecialchars, чтобы предотвратить внедрение SQL в переменную, заключенную в одинарные кавычки?

Хотя многие источники цитируют

1 ответ

, Обратите внимание, что единственная ситуация, от которой PDO не защитит вас, - это динамические имена таблиц / столбцов. PDO (и mysql_real_escape_string) не будут избегать обратных кавычек `, поэтому старайтесь никогда не использовать динамические имена таблиц или столбцов.

новичок): if(isset($_POST['selection'])) { include_once 'pdo_init.php'; $params_str = str_repeat('?,',count($_POST['selection'])); $params_str = substr($params_str,0,-1); $res = $pdo->prepare('DELETE FROM funcionario WHERE codigo in ...

1 ответ

rails 3 activerecord order - что такое правильный обход SQL инъекций?

скажем, у меня есть страница со списком пользователей, и вы можете сортировать по разным столбцам, при нажатии на кнопку «электронная почта» она передаст sort_by = email sort_direction = asc или desc sort_by = "email" # really params[:sort_by] ...

ТОП публикаций

11 ответов

Нужно ли защищаться от внедрения SQL, если я использовал раскрывающийся список?

Я понимаю, что вы НИКОГДА не должны доверять пользовательскому вводу из формы, в основном из-за вероятности внедрения SQL-кода. Однако относится ли это также к форме, в которой единственным вводом являются выпадающие списки (см. Ниже)? Я ...

5 ответов

SQL-инъекция и предложение LIMIT

Этот вопрос должен уладить спор между мной и коллегой.Допустим, у нас есть следующий запрос, выполненный на стандартном сервере LAMP.

2 ответа

Являются ли Codeigniter - активные записи уязвимыми для SQL-инъекций?

11 ответов

почему вы хотите сначала выполнить добавление косых черт, а затем удалите эти косые черты, прежде чем показывать, что данные и все еще добавления косых черт не так эффективны, как mysql_real_escape_string, используйте mysql_real_escape_string, если вы используете mysql_query, например, функции db для запросов, или я думаю, что PDO с подготовкой - лучший способ , поскольку mysql_real_escape_string является специфичным для БД

нам нужны специфичные для БД функции, такие как mysql_real_escape_string ()? Что он может сделать, чего не делает addlashes ()? На данный момент не обращая внимания на превосходную альтернативу параметризованных запросов, является ли ...

6 ответов

Предотвращение внедрения SQL без подготовленных операторов (JDBC)

2 ответа

эмулированные подготовленные заявления против реально подготовленных утверждений

В чем разница между двумя видами подготовленных утверждений? Я думаю, что реально подготовленные операторы требуют поддержки на стороне сервера, которая принимает параметры после анализа и компиляции схемы / шаблона кода SQL, и, я полагаю, это ...

6 ответов

Даже если приложение передает введенное пользователем значение имени в хранимую процедуру безопасным способом, сама процедура объединяет это непосредственно в динамический запрос и поэтому уязвима.

да, почему все еще так много успешных SQL-инъекций? Просто потому, что некоторые разработчики слишком тупы, чтобы использовать параметризованные операторы?