Результаты поиска по запросу "sql-injection"
Он не защищает от SQL-инъекций лучше, чем старый модуль mysql, просто облегчает разработку для него, который теперь может использовать подготовленные операторы вместо вызова mysql_real_escape_string.
ел много статей и вопросов о MySQL, и все они утверждают, что он защищает от инъекций SQL. Но это доказательство дурака, или есть еще способ обойти это. Меня не интересуют межсайтовые сценарии или фишинговые атаки, только инъекции SQL. Для ...
он может охватывать почти все потребности, включая пример из OP.
ля созданияресурс обучения сообщества, Цель состоит в том, чтобы получить примеры хорошего кода, который не повторяет ужасных ошибок, которые так часто встречаются в копируемом / вставленном коде PHP. Я просил, чтобы это было сделано Сообщество ...
+1 за комментарий «Java-код в JSP - плохая практика». Когда вы начинаете работать с JSP, это кажется отличной идеей, но, больно, когда вы возвращаетесь позже, вырываете всю эту не относящуюся к просмотру логику.
о на прошлой неделе я занимался PHP. Я разработал небольшое решение для предотвращения SQL-инъекций. PHP всегда был моим человеком, у него легко есть 3 решения для использования (возможно, больше). Одним из них является включение «магических ...
Если вы не хотите иметь дело с экранированием ввода, вы всегда можете сопоставить его с шаблоном по мере его поступления, а затем отправить свои заранее написанные операторы. Это действительно будет стоить усилий, если у вас будет относительно мало возможных операторов для выполнения.
ыло просто интересно, можно ли было бы использовать какую-либо форму подготовленных операторов в MySQL, чтобы мне не пришлось экранировать все свои входные данные и мне не пришлось бы переключать все мои файлы с MySQL на MySQLi. Я действительно ...
request не будет читать ваш файл passwd из корня документа вашего сайта / var / www, но будет пытаться только включить файл etcpasswd.php
ли способ, используя как можно меньше кода, фильтровать строку как для внедрения SQL-кода, так и для наиболее распространенных форм атаки? В своих сценариях я использую следующее, я хотел бы знать, насколько это безопасно и есть ли у кого-то еще ...
http://ca3.php.net/magic_quotes
я отправляю");-- из поля ввода на мой PHP-сервер localhost, он автоматически преобразует его в \ "); - Это кажется великолепным, за исключением того, что я не знаю, насколько заслуживает доверия это поведение. Хотя кажется, что он избегает ...
ES: Siga los siguientes pasos y resolver el problemma de la inyección de SQL:
я есть несколько запросов (к базе данных доступа), как это: string comando = "SELECT * FROM ANAGRAFICA WHERE E_MAIL='" + user + "' AND PASSWORD_AZIENDA='" + password + "'";и я хотел бы «убежать» от пользователя и пароля, предотвращая ...
Вот почему мне особенно легче использовать те библиотеки БД, которые предоставляют такой синтаксис, как PDO.
шал чтоsprintf() защищает от внедрения SQL. Это правда? Если да, то как? Почему люди рекомендуют писать запрос так: $sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);
Я не слушал подкаст, но по моему опыту только хорошее исходит из готовых заявлений. Это часто повышает производительность приложения и предотвращает внедрение SQL-кода (при правильном использовании, а не в качестве второго примера в вашей ссылке).
я правильно помню, я думаю, что Джефф упомянул в подкасте Stack Overflow возможный недостаток подготовленных SQL-операторов. Мне интересно, о какой (ых) слабости (с) он имел в виду? Было ли это возможнонеуместное ...
Даже если приложение передает введенное пользователем значение имени в хранимую процедуру безопасным способом, сама процедура объединяет это непосредственно в динамический запрос и поэтому уязвима.
да, почему все еще так много успешных SQL-инъекций? Просто потому, что некоторые разработчики слишком тупы, чтобы использовать параметризованные операторы?