Результаты поиска по запросу "sql-injection"
там :)
жный дубликат: Что такое SQL-инъекция? [https://stackoverflow.com/questions/601300/what-is-sql-injection] Я вижу много php-кода, перемещающегося по stackoverflow и (тоже) небольшого экранирования строк. Может кто-нибудь Объясните, что такое ...
больше работы для грубой силы. Даже 8-символьный пароль ASCII будет иметь 7,2x10 ^ 15 возможностей - в 3 тысячи раз больше.
ли возможность SQL-инъекции даже при использованииmysql_real_escape_string() функционировать? Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password ...
Это должно быть хорошо, но я всегда рекомендую использовать подготовленные заявления.
попросили решить проблему безопасности сайта, который был создан другим программистом. Пока что я не видел ни одного кода, поэтому на этом этапе я отказываюсь от предположений и хочу охватить свои основы. Группа, размещающая сайт, провела ...
, У этого есть некоторые удивительные особенности, которые действительно могут помочь в манипулировании БД.
ы на сегодняшний день лучшие практики, когда дело доходит до получения информации от получения / публикации и сохранения информации в базе данных? Данные по-прежнему экранированы, как раньше, или есть дополнительные методы? Кроме того, где ...
@nikic, я знаю, что вы хотите притвориться, что ваш код безопасен, но, поверьте мне, это не так, в зависимости от набора символов / параметров сортировки ваших метасхем соединения с базой данных, таких как приведенная выше, будут преобразованы в специальные символы, такие как обратные ссылки. Единственный способ обезопасить себя - это сравнить имя таблицы / имя поля / имя столбца со списком предварительно утвержденных имен. Если вы мне не верите, спросите @Pekka.
л эту дискуссию с высокой репутациейPHP [http://en.wikipedia.org/wiki/PHP] парень: PDO [http://en.wikipedia.org/wiki/PHP#History]здесь не имеет смысла а также mysql_real_escape_string. крайне плохое качество. Это, конечно, круто, но я, честно ...
Это все еще требует, чтобы все поля были известны для оператора SQL.
яюсь, если об этом уже спрашивали. Я видел ответы относительно статического SQL, но в этом случае я хотел бы использовать PDO-> prepare () для строки запроса, которая динамически создается во время выполнения. Разбиваем на простой ...
mysql_stmt_bind_param ()
у приложение на C, которое принимает некоторые пользовательские данные и выполняет несколько запросов к базе данных. Я хорошо осведомлен о рисках внедрения SQL-кода и хочу предотвратить это. В идеале я бы использовал параметризованные запросы, ...
, Обратите внимание, что единственная ситуация, от которой PDO не защитит вас, - это динамические имена таблиц / столбцов. PDO (и mysql_real_escape_string) не будут избегать обратных кавычек `, поэтому старайтесь никогда не использовать динамические имена таблиц или столбцов.
новичок): if(isset($_POST['selection'])) { include_once 'pdo_init.php'; $params_str = str_repeat('?,',count($_POST['selection'])); $params_str = substr($params_str,0,-1); $res = $pdo->prepare('DELETE FROM funcionario WHERE codigo in ...
тогда вы не в безопасности, иначе вы
т, я использую набор данных, и в этом наборе данных у меня есть адаптер таблицы. В моей таблице адаптеров я использовал хранимые процедуры в качестве запросов. Если я использую следующие строки для вставки данных формы с помощью моего табличного ...
Возможно ли внедрение SQL с помощью POST?
Sql Injection возможно, если параметры передаются через GET. Но возможно ли это и через POST? Если да, может ли https предотвратить это?