Результаты поиска по запросу "sql-injection"
бесполезно, и запрос всегда будет выбирать данные, следовательно, SQL-инъекция.
дуры впрыска: SELECT UserId, Name, Password FROM Users WHERE UserId = 105 or 1=1;Но, мой вопрос, как работает инъекционный запрос в SQL?
для впрыска sql; Я просто подумал поделиться простым сравнением для типичных целочисленных условий
твует ли регулярное выражение, которое может обнаружить SQL в строке? У кого-нибудь есть образец чего-то, что они использовали раньше, чтобы поделиться?
Что делает bind_param?
Я учусь избегать инъекций SQL, и я немного запутался. При использовании bind_param я не понимаю цели. На странице руководства я нашел этот пример: $stmt = mysqli_prepare($link, "INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); ...
каждый раз, когда ваши данные переходят из одного контекста / стиля в другой, вы должны уделять внимание побегу
ользовал hibernate для взаимодействия с моей базой данных, теперь я хотел сделать свой уровень базы данных защищенным от SQL-инъекций, поэтому я провел некоторое исследование и обнаружил, что мои запросы должны быть параметризованы, поэтому это ...
Да, у него есть шестнадцатеричная форма имени вашей базы данных, которую вы говорите «74545883». Отменив это, он получил бы настоящее имя базы данных.
но мой сайт был взломан с помощью SQL-инъекции. Хакер использовал следующий запрос, чтобы получить имя моей БД. Я не могу понять этот запрос, который ...
Ранее проголосовал за ответ, поэтому забыл пометить его как принятый. Это сделано сейчас. Благодарю.
риложение имеет много запросов JDBC, написанных с использованием Statement, и поэтому уязвимо для внедрения SQL. К сожалению, это приложение было разработано около 10 лет назад, и, вероятно, разработчики не знали о подготовленном заявлении. Я ...
И когда я говорю «привык делать это», я имею в виду, что в конце концов я сдался и просто начал использовать готовые утверждения!
я есть приложение, которое очень выиграет от использования динамических запросов mysql в сочетании с реальной escape-строкой mysql (mysqli). Если бы я проверил все данные, полученные от пользователя, через MySQL, действительно ли это было бы ...
Ну, я думаю, что SqLCommand работает, чтобы помочь предотвратить внедрение SQL, когда параметры хранимой процедуры строго типизированы и не могут содержать запрос самостоятельно. Не так с динамическим SQL.
ользую хранимые процедуры. Чтобы сэкономить время, я сделал несколько общих процедур, использующих динамический порядок sqlin для обновления. Такая общая процедура: CREATE PROCEDURE [dbo].[SetField] @company_id uniqueidentifier, @id ...
второй голос за PDO => ttp: //net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
р mysql_query: $query=mysql_query("SELECT `col1`, `col2` FROM `table` WHERE `col1`='$escapedvariable' ");Я знаю, что вышесказанное не очень хорошо на практике. Лучший запрос с использованием подготовить и выполнить $pSt = $dbh->prepare('SELECT ...
stackoverflow.com/questions/4050790/...
ка начать работу с JDBC (используя Jetty + MySQL). Я не уверен, как избежать пользовательских параметров в операторе SQL. Пример: String username = getDangerousValueFromUser(); Statement stmt = conn.createStatement(); stmt.execute("some ...