Perguntas com a marcação «sql-injection»

As respostas desta pergunta são um esforço da comunidade . Edite as respostas existentes para melhorar esta postagem. No momento, não está aceitando novas respostas ou interações. Como fazer a instalação de um Stack Overflow no Stack Overflow em Português : Como criar um arquivo SQL-SQL no PHP? Se a …

2773 php  mysql  sql  security  sql-injection 

Existe uma função catchall em algum lugar que funcione bem para higienizar a entrada do usuário para injeção de SQL e ataques XSS, enquanto ainda permite certos tipos de tags HTML?

1124 php  security  xss  sql-injection  user-input 

Apenas olhando para: (Fonte: https://xkcd.com/327/ ) O que esse SQL faz: Robert'); DROP TABLE STUDENTS; -- Conheço os dois 'e faço --comentários, mas a palavra DROPtambém não é comentada, pois faz parte da mesma linha?

1093 security  validation  sql-injection 

Digamos que eu tenha um código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); A documentação da DOP diz: Os parâmetros para instruções preparadas não precisam ser citados; o driver lida com você. Isso é realmente tudo …

660 php  security  pdo  sql-injection 

Existe uma possibilidade de injeção de SQL, mesmo ao usar a mysql_real_escape_string()função? Considere esta situação de exemplo. SQL é construído em PHP assim: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Eu ouvi muitas pessoas me dizerem que códigos como esse ainda …

644 php  mysql  sql  security  sql-injection 

Como as instruções preparadas nos ajudam a impedir ataques de injeção de SQL ? A Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser escapados corretamente. Se o modelo de instrução original …

172 sql  security  sql-injection  prepared-statement 

Estou tentando colocar alguma injeção anti-sql no java e estou com muita dificuldade em trabalhar com a função de cadeia "replaceAll". Por fim, preciso de uma função que converta qualquer existente \para \\, qualquer "para \", qualquer 'para \'e qualquer \npara, \\npara que quando a string for avaliada pelas injeções …

146 java  sql  regex  escaping  sql-injection 

Percebo que as consultas SQL parametrizadas são a maneira ideal de higienizar a entrada do usuário ao criar consultas que contenham entrada do usuário, mas estou me perguntando o que há de errado em receber entradas do usuário e escapar de aspas simples e cercar toda a cadeia de caracteres …

139 sql  security  sql-server-2000  sql-injection  sanitization 

Eu sei que o PreparedStatements evita / impede a injeção de SQL. Como isso acontece? A consulta final do formulário criada usando PreparedStatements será uma sequência ou não?

122 java  sql  jdbc  prepared-statement  sql-injection 

Hoje cedo, uma pergunta foi feita sobre estratégias de validação de entrada em aplicativos da web . A principal resposta, no momento da redação, sugere PHPapenas o uso de htmlspecialcharse mysql_real_escape_string. Minha pergunta é: isso é sempre suficiente? Há mais coisas que devemos saber? Onde essas funções se dividem?

116 php  security  xss  sql-injection 

Eu sou muito novo no trabalho com bancos de dados. Agora eu posso escrever SELECT, UPDATE, DELETE, e INSERTcomandos. Mas eu vi muitos fóruns onde preferimos escrever: SELECT empSalary from employee where salary = @salary ...ao invés de: SELECT empSalary from employee where salary = txtSalary.Text Por que sempre preferimos …

114 sql  sql-server  sql-injection 

Em termos de injeção de SQL , eu entendo perfeitamente a necessidade de parametrizar um stringparâmetro; esse é um dos truques mais antigos do livro. Mas quando pode ser justificado não parametrizar um SqlCommand? Algum tipo de dado é considerado "seguro" para não parametrizar? Por exemplo: Eu não me considero …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

Estamos tendo outra discussão aqui no trabalho sobre o uso de consultas sql parametrizadas em nosso código. Temos dois lados na discussão: eu e alguns outros que dizem que devemos sempre usar parâmetros para proteção contra injeções de sql e os outros caras que acham que não é necessário. Em …

109 c#  asp.net  sql-server  sql-injection 

Eu entendo que você NUNCA deve confiar na entrada do usuário de um formulário, principalmente devido à chance de injeção de SQL. No entanto, isso também se aplica a um formulário em que a única entrada é proveniente de uma (s) lista (s) suspensa (s) (veja abaixo)? Estou salvando o …

96 php  mysql  mysqli  sql-injection 

É possível evitar injeções de SQL em Node.js (de preferência com um módulo) da mesma forma que o PHP preparou instruções que protegem contra eles. Se sim, como? Se não, quais são alguns exemplos que podem ignorar o código que forneci (veja abaixo). Algum Contexto: Estou fazendo um aplicativo da …

87 javascript  mysql  node.js  sql-injection  node-mysql