Als «sql-injection» getaggte Fragen

SQL Injection ist eine Code-Injection-Technik, mit der datengesteuerte Anwendungen angegriffen werden, bei der böswillige SQL-Anweisungen zur Ausführung in ein Eingabefeld eingefügt werden (z. B. um den Datenbankinhalt an den Angreifer zu senden).

28
Wie kann ich die SQL-Injection in PHP verhindern?
Die Antworten dieser Frage sind eine Gemeinschaftsanstrengung . Bearbeiten Sie vorhandene Antworten, um diesen Beitrag zu verbessern. Derzeit werden keine neuen Antworten oder Interaktionen akzeptiert. Эа этот вопрос есть ответы на Stapelüberlauf на русском : Каким образом избежать SQL-инъекций в PHP? Wenn Benutzereingaben ohne Änderung in eine SQL-Abfrage eingefügt werden, …
7
Reichen PDO-vorbereitete Anweisungen aus, um eine SQL-Injection zu verhindern?
Angenommen, ich habe folgenden Code: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); In der PDO-Dokumentation heißt es: Die Parameter für vorbereitete Anweisungen müssen nicht in Anführungszeichen gesetzt werden. Der Fahrer erledigt das für Sie. Ist das wirklich alles, …
4
SQL-Injection, die mysql_real_escape_string () umgeht
Gibt es eine SQL-Injection-Möglichkeit, auch wenn die mysql_real_escape_string()Funktion verwendet wird? Betrachten Sie diese Beispielsituation. SQL ist in PHP wie folgt aufgebaut: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Ich habe zahlreiche Leute zu mir sagen hören, dass solcher Code immer noch …
9
Wie können vorbereitete Anweisungen vor SQL-Injection-Angriffen schützen?
Wie helfen uns vorbereitete Anweisungen , SQL-Injection- Angriffe zu verhindern? Wikipedia sagt: Vorbereitete Anweisungen sind widerstandsfähig gegen SQL-Injection, da Parameterwerte, die später mit einem anderen Protokoll übertragen werden, nicht korrekt maskiert werden müssen. Wenn die ursprüngliche Anweisungsvorlage nicht von externen Eingaben abgeleitet ist, kann keine SQL-Injection durchgeführt werden. Ich kann …
12
Java - Escape-Zeichenfolge zur Verhinderung der SQL-Injection
Ich versuche, eine Anti-SQL-Injektion in Java zu installieren, und finde es sehr schwierig, mit der String-Funktion "replaceAll" zu arbeiten. Letztendlich brauche ich eine Funktion, die alle vorhandenen \in \\, alle "in \", alle 'in \'und alle \nin konvertiert , \\ndamit bei der Auswertung der Zeichenfolge durch MySQL SQL-Injektionen blockiert werden. …
18
Kann ich mich vor SQL-Injection schützen, indem ich einfache Anführungszeichen und umgebende Benutzereingaben mit einfachen Anführungszeichen verbinde?
Mir ist klar, dass parametrisierte SQL-Abfragen die optimale Methode sind, um Benutzereingaben zu bereinigen, wenn Abfragen erstellt werden, die Benutzereingaben enthalten. Ich frage mich jedoch, was falsch daran ist, Benutzereingaben zu übernehmen und einfache Anführungszeichen zu umgehen und die gesamte Zeichenfolge mit einfachen Anführungszeichen zu umgeben. Hier ist der Code: …
12
Ist es sicher, eine SQL-Abfrage nicht zu parametrisieren, wenn der Parameter keine Zeichenfolge ist?
In Bezug auf die SQL-Injection verstehe ich die Notwendigkeit, einen stringParameter zu parametrisieren, vollständig . Das ist einer der ältesten Tricks im Buch. Aber wann kann es gerechtfertigt sein, eine nicht zu parametrisieren SqlCommand? Werden Datentypen als "sicher" angesehen, um nicht parametrisiert zu werden? Zum Beispiel: Ich habe mich nicht …
21
Vermeiden der SQL-Injection ohne Parameter
Wir haben hier eine weitere Diskussion über die Verwendung parametrisierter SQL-Abfragen in unserem Code. Wir haben zwei Seiten in der Diskussion: Ich und einige andere, die sagen, wir sollten immer Parameter verwenden, um uns vor SQL-Injektionen zu schützen, und die anderen, die es nicht für notwendig halten. Stattdessen möchten sie …
5
Verhindern der SQL-Injektion in Node.js.
Ist es möglich, SQL-Injektionen in Node.js (vorzugsweise mit einem Modul) auf dieselbe Weise zu verhindern, wie PHP vorbereitete Anweisungen hatte, die gegen sie geschützt waren? Wenn das so ist, wie? Wenn nicht, welche Beispiele könnten den von mir bereitgestellten Code umgehen (siehe unten). Einige Zusammenhänge: Ich mache eine Webanwendung mit …
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.