-
526 votesanswersviews
围绕mysql_real_escape_string()的SQL注入
即使使用 mysql_real_escape_string() 函数,是否存在SQL注入的可能性? 考虑这个示例情况 . SQL是用PHP构造的,如下所示: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); ... -
11 votesanswersviews
在异常时显示自定义错误消息:从客户端检测到潜在危险的Request.Form值
我在我的Web应用程序中使用ASP.NET的登录控件 . 我希望在发生此异常时在标签上显示一个有趣的错误类型 System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client 当用户尝试通过在Login控件的用户名文本字段中输入它们来执... -
4 votesanswersviews
Spring中的SimpleJdbcTemplate是否可以安全地从SQL注入?
我意识到可以将一个手动构造的String传递给易受攻击的 execute(String) . 但是我在每个中使用了一个准备好的声明,所以我认为注射是不可能的 . 但是我不是安全专家所以只是想确认一下 . 例1: getSimpleJdbcTemplate().queryForObject("SELECT * FROM table WHERE value = ?", ... -
4 votesanswersviews
MySQL比PostgreSQL(在Perl / DBI下)更能抵抗SQL注入攻击吗?
我正在审查一个基于Linux的perl Web应用程序,它包含一个无处不在的登录处理程序 我的$ sth = $ DB-> prepare(“从密码中选择密码,其中userid ='$ userid'”)或死; $ sth->执行或死亡; ... 其中$ userid是从(不安全,未经过滤的)Web用户输入初始化的 . 众所周知,DBI文档建议应该更改此代码以使用占位符“?”取代'$ ... -
0 votesanswersviews
GAO数据存储和JDOQL的安全风险
我刚刚开始研究将在谷歌应用引擎(GAE)上运行的项目 . 我正在使用java(wicket)和一些ajax . 我对关系数据库很有经验,通常使用像iBatis这样的东西 . 在使用JDO浏览GAE数据存储区的文档和示例时,我发现它们正在执行以下内容: String query = "select from " + Employee.class.getName() + "... -
2780 votesanswersviews
如何在PHP中阻止SQL注入?
如果在未修改SQL查询的情况下插入用户输入,则应用程序将容易受到SQL injection的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); 这是因为用户可以输入类似 va... -
-5 votesanswersviews
admin“或”1“=”1是什么意思?
我在一个网站上运行 admin" or "1"="1 我已经拥有运行SQL注入的完全权限 . 该网站配置错误,让我直接登录 . 我不理解的是,为什么在最终的1号之后不需要双引号? 如果php的工作方式如下: username="admin" and password=md5("password") ,则admin之后的... -
2780 votesanswersviews
如何在PHP中阻止SQL注入?
如果在未修改SQL查询的情况下插入用户输入,则应用程序将容易受到SQL injection的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); 这是因为用户可以输入类似 va... -
578 votesanswersviews
PDO准备好的语句是否足以阻止SQL注入?
假设我有这样的代码: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); PDO文... -
-3 votesanswersviews
如何防止SQL注入,php [重复]
这个问题在这里已有答案: How can I prevent SQL injection in PHP? 28个答案 如果插入用户输入而不修改SQL查询,则应用程序容易受到SQL注入的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALU... -
1015 votesanswersviews
如何从“Bobby Tables”XKCD漫画中注入SQL?
只看: (来源:https://xkcd.com/327/) 这个SQL做了什么: Robert'); DROP TABLE STUDENTS; -- 我知道 ' 和 -- 都是评论,但是_1111857_这个词也没有被评论,因为它是同一行的一部分? -
-1 votesanswersviews
防止php中的sql注入[重复]
这个问题在这里已有答案: How can I prevent SQL injection in PHP? 28个答案 如果用户输入是在没有修改的情况下从 SQL query 插入的,那么应用程序就容易受到 SQL injection 的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT IN... -
9 votesanswersviews
在ASP.Net中防止SQL注入
我有这个代码 UPDATE OPENQUERY (db,'SELECT * FROM table WHERE ref = ''"+ Ref +"'' AND bookno = ''"+ Session("number") +"'' ') 我如何防止SQL注入呢? UPDATE 这就是我正在尝试的 SqlCommand cmd = new... -
1 votesanswersviews
数字字段可以成为SQL注入攻击的目标吗?
我遇到了一个问题,通过用硬值替换参数,我的SQL Server查询性能显着提高 . 例如: SELECT * FROM Table1 WHERE RowNumber >= 101 AND ID < 200 明显快于以下: DECLARE @Start int = 101; DECLARE @End Start int = 200; SELECT * FROM Table1 WHER... -
2 votesanswersviews
只有Letter和Number的字符串才能注入SQL语句
我是SQL注入的新手并阅读了一些文章,许多黑客可能会使用';'和输入中的空格'',例如: (1)username ='123; drop table account' (2)username ='123和1 = 1' 但问题是,如果我们只允许用户在客户端键入字母(大写和小写)和数字,没有任何其他字符如空格,分号是允许的,是否有任何字符串存在可以注入SQL语句?如果是这样,有人能举个例子吗?谢谢! ... -
1 votesanswersviews
在发布我的网站之前,我需要多少网络安全知识? [关闭]
我正在编写我的第一个php / mysql网站,并意识到除了我在课程/书中学到的东西之外,我对安全性知之甚少 . 在我发布自己的网站之前,我需要多少安全知识,而不用担心即使取得适度的成功也会吸引黑客并导致我的网站被破坏? 如果它有助于更具体,我正在创建一个网站,允许用户添加纯文本内容,以及浏览其他人添加的内容 . 该文本旨在存储在数据库中 . -
16 votesanswersviews
使用Spring MVC框架消除用户输入
我正在使用spring mvc框架开发web应用程序,我想知道有没有最好的方法来清理用户输入或常用方法来清理Spring中的所有用户输入以避免XSS和Sql Injection攻击? -
8 votesanswersviews
我是否需要清理用户输入Laravel
我正在使用Laravel 4和Eloquent . 当我得到用户输入时我只使用 $name=Input::get('name') 然后我做 $a->name=$name; 我不知道函数 Input::get 是否保护我免受SQL注入和XSS的攻击 . 如果没有,我需要做些什么来消毒输入? 并且,当我在我的视图中显示值时,我应该使用 {{$a}} 或 {{{$a}}} 问候和感谢 . -
127 votesanswersviews
准备好的语句如何防止SQL注入攻击?
prepared statements如何帮助我们防止SQL injection攻击? 维基百科说: 准备语句对SQL注入具有弹性,因为以后使用不同协议传输的参数值无需正确转义 . 如果原始语句模板不是从外部输入派生的,则不能进行SQL注入 . 我看不清楚原因 . 简单的英语和一些例子中有什么简单的解释? -
-1 votesanswersviews
简单的用户输入清理
我正在使用 Server.HttpEncode() 和 HttpDecode() 来清理用户表单输入,以及让服务器在检测到"potentially dangerous"输入时抛出异常 . (然后将数据保存到MSSQL数据库) 这被认为足以阻止SQL / Javascript注入和类似? -
126 votesanswersviews
我可以通过使用单引号转义单引号和周围用户输入来防止SQL注入吗?
我意识到参数化SQL查询是构建包含用户输入的查询时消毒用户输入的最佳方式,但我想知道使用用户输入并转义任何单引号并用单引号包围整个字符串有什么问题 . 这是代码: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" 用户输入的任何单引号都被... -
0 votesanswersviews
PHP:PDO(SQLite)用户输入 - 安全性?
我正在编写一个小问答网络应用程序,允许互联网用户提交问题的答案(只能提交答案,而不是问题) . 我已经积极尝试解决有效负载( strlen() ),XSS( htmlspecialchars() ),SQL注入( prepare() )的权重,并且用户正在提交对实际存在的问题的答案(通过执行 SELECT 查询"behind the scenes") . public func... -
0 votesanswersviews
如何使用Yii后端查询网页的源数据库?
我不确定这是不合法的,但我认为这样做没有害处 . 该网站未得到积极维护 . 我曾尝试联系该网站的所有者,但没有任何回复 . 该网站有一个API,用于通过 www.website.com/api/Query 在JSON中向公众提供数据 . 我定期使用api收集数据(显示前几周的数据) . 最近,我在加载网站时收到一条错误消息,该网站几乎显示了用于加载数据的查询 . 像这样的东西: {"co... -
2780 votesanswersviews
如何在PHP中阻止SQL注入?
如果在未修改SQL查询的情况下插入用户输入,则应用程序将容易受到SQL injection的攻击,如下例所示: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')"); 这是因为用户可以输入类似 va... -
0 votesanswersviews
针对quote()的SQL注入?
注意:这是一个在虚拟机中具有虚拟站点的项目 . 这是我正在研究的高级大学项目 . 我并不是想利用一个真实的,真实的网站 . 这是出于教育目的,即使使用给定的函数,也可以了解此类漏洞利用程序的强大程度 . 我目前正在开发一个涉及利用网站漏洞的项目(在安全和受控环境下,在VM内部) . 一部分涉及利用SQL语句 . 目标是只能输入一个用户名和一个不正确的密码,并且仍然可以登录 . 我已经在这个工作了几... -
-3 votesanswersviews
如何在php中保护pasword字段
我有2个字段( html form 中的文本框)user_name和password . 示例= <?php $mail = $_POST['mail']; $pswrd = $_POST['passwrd']; $addtouser = $mysqli->query("INSERT INTO user_table ( 电子邮件 , passwordss ) VAL... -
2 votesanswersviews
在PHP中使用预准备语句/存储过程时,如何保护自己免受SQL注入?
我一直在寻找如何最好地防止PHP / mysql中的sql注入,而不仅仅是使用mysqli / mysql真正的转义,因为阅读这个Is mysql_real_escape_string enough to Anti SQL Injection? 我见过这个非常好的帖子How can I prevent SQL injection in PHP? 我用来在桌面/内部工具上做很多ms sql serv... -
3 votesanswersviews
再次使用PDO,Prepared语句和SQL-Injection
在阅读了几篇关于PDO和MySQLi准备语句的文章之后,也已经在stackoverflow.com上阅读了关于预备语句和SQL注入的几十个问题,人们说正确使用预准备语句就不再需要从用户那里逃避条目了,但是我想我仍然担心安全问题 . 1st Question: 如果我仍然使用reg-exp清理条目并在我准备好的语句中使用它们之前进行转义,是否就像我过度使用它一样? 2nd Question: 如果准... -
1 votesanswersviews
使用PDO解决sql注入问题
tl; dr:使用mysql重写了数据库类而不是使用PDO来使用预处理语句,但是从Kali运行sqlmap仍然从网站的数据库中提取表 . 怎么样? 更长的版本: 我注意到我们的一个工作网站存在SQL注入漏洞 . 所以我开始研究它,从Kali运行sqlmap,然后从该网站的数据库中提取所有表 . 调查一下,该网站使用的是旧的mysql api,经过一些研究后我决定转用PDO来使用预处理语句来解决这个... -
2 votesanswersviews
Idiorm pdo准备声明
我想使用以下idiorm(orm):https://github.com/j4mie/idiorm . 它具有以下特点:Build 在PDO之上 .始终使用预准备语句来防止SQL注入攻击 . 现在,在https://github.com/j4mie/idiorm/blob/master/idiorm.php我没有看到准备好的statament的使用,所以我的问题是 - >如果我使用下面的代码...