首页 > TAG信息列表 > sql-injection
c#-使用存储过程从复选框切换布尔值是否有任何安全益处
我在SQL Server数据库中存储了一个布尔变量值.这是在ASP.NET网页上作为复选框显示给最终用户的.切换复选框自然会更新数据库中的值. 我打算删除后面用C#代码以纯文本形式编写的SQL查询,并用存储过程替换它,以通过防止SQL注入攻击来提高安全性.我对注入攻击的理解是有限的,但是可以Python中的SQL注入预防-使用参数化查询是否足够?
我有以下python代码: row = conn.execute('''SELECT admin FROM account WHERE password = ?''', (request.headers.get('X-Admin-Pass'),)).fetchone() 我的问题是此代码对于SQL注入是否安全?由于我使用参数化查询,所以应该这样.但是,由于我是直接从标题传递用户信息,因此我有点担python-SQLAlchemy是否清除原始SQL?
简单的说.如果我做了类似的事情 Conn.execute(RAW_SQL) sqlalchemy会对此进行清理以防止sql注入还是按字面意思执行它?谢谢解决方法:不,如果您传入带有插值的原始SQL,SQL Alchemy将不会对其进行清理.它将被执行. 至少始终使用查询参数. 字符串对象直接传递给基础数据库连接实现;它这个准备好的语句可以防止SQL注入吗?
这个问题已经在这里有了答案: > Are PDO prepared statements sufficient to prevent SQL injection? 7个 $string = trim($_POST['string']) $sql = "INSE防止SQL注入(Java)
我想保护我的应用程序免受SQL Injection攻击. 第一个问题:更好的方法是什么? 第一种方法:我将每个请求都转换为json: public JsonObject requestToJson(HttpServletRequest request) throws UnsupportedEncodingException{ request.setCharacterEncoding("UTF-8");我的登录脚本容易受到SQL注入的攻击吗?
2天前,一个黑客进入了一个Admin帐户.他告诉我们login.php容易受到攻击. 但是我找不到如何逃避输入的方法: $salt = '78sdjs86d2h'; $username = mysqli_real_escape_string($DB_H, addslashes($_POST['username'])); $password = mysqli_real_escape_string($DB_H, addslashes的PetaPoco的查询(字符串查询,参数)方法可以防止SQL注入吗?
在PetaPoco’s home page中,提到了PetaPoco的SQL Builder(Sql对象)可以防止SQL注入.但是Query(string query,parameters)方法可以防止SQL注入吗? SQL Builder是安全的: var id = 123; var a = db.Query<article>(PetaPoco.Sql.Builder .Append("SELECT * FROM articles") .Appen这个简单的字符串转义可以防止任何SQL注入吗?
我在一家公司工作,该公司负责数据库模块的人员严格禁止使用准备好的语句.我担心他的实施不安全. 这是我们当前用于进行SQL查询的代码(带有JDBC / MySQL 5.5的Java 8应用程序): String value = "Raw user input over HTTP-Form"; String sql = "SELECT * FROM db1.articles WHERE tiMySQL PHP查询缺陷
我将做一个关于SQL注入的演示,还有什么比做我自己的php查询并将它们显示给类更好的方法. 问题是我的数据库和php代码运行正常,但似乎无法以我编写的编辑形式在UPDATE查询中发现漏洞.如果有人可以看一下并告诉我如何插入“ DROP TABLE”命令或类似的命令,那将非常有帮助! <?php sess如何在PHP和MySQL的textarea中给换行符的同时避免SQL注入?
我想要的是当用户在描述框中输入换行符时,即:HTML中的textarea,则所有数据都安全地存储在SQL数据库中,但是如果用户给出链接,则链接也变为文本,但是当用户在描述文本框中输入回车符或换行符时,则它保存在数据库中,并且在从数据库中检索它时,将再次显示换行符. <textarea name"descrPHP-盲SQL注入
当我在页面上使用acunetix时,我得到了:盲SQL / XPath注入 标头: GET /file.php?id=2’和31337-31337 = 0-& page = 2 响应:找不到文件(有时会显示结果) 这是我的PHP代码: $id = (int) htmlentities($_GET['id']); $fileid = mysql_real_escape_string($id); 查询: SELECT * FROM `filphp-在mysql_query语句中绑定变量
mysql_query示例: $query=mysql_query("SELECT `col1`, `col2` FROM `table` WHERE `col1`='$escapedvariable' "); 我知道以上内容在实践中并不理想. 使用准备和执行更好的查询 $pSt = $dbh->prepare('SELECT col1, col2 FROM table WHERE col1=:col1); $pSt->execute(正则表达式足以阻止注入攻击吗?
我有一个处理用户输入的脚本,在继续进行数据库交互之前,它会使用正则表达式验证输入.我唯一的问题是,正则表达式是否足以消除注入攻击,还是仍然需要应用mysql_real_escape_string()?解决方法:这实际上取决于表达的“好”程度.例如,“您覆盖了所有基地吗?”为了安全起见,通过mysql_reaPHP参数化SQL查询特殊运算符
我只是偶然发现了以下方法来组成参数化的SQL查询: function select_user($uid) { // what is '<<<'? // I can't google any document about it // (or I don't know how to search symbol) $sqlStr = <<< SQL_STR SELECT * FSQL CLR存储过程是否可以防止注入?
我已经用C#编写了这样的CLR存储过程 [Microsoft.SqlServer.Server.SqlProcedure] public static void IsUserNameExists(string strUserName, out SqlBoolean returnValue) { using (SqlConnection connection = new SqlConnection("context connection=true")) {php-安全性怀疑:Mysqli与PDO
这个问题已经在这里有了答案: > mysqli or PDO – what are the pros and cons? [closed] 13个 我已经开始创建我的网站,但是现在我对此毫不怀疑.我搜索到,php-MySQL准备语句混乱
好的,所以我对Prepared语句有很多麻烦.我已经完成了数小时的研究,但似乎仍然无法完全理解所有内容… 我真的觉得我需要了解Prepared语句,因为我正要在我的网站上发布一些新的免费API(需要API密钥才能执行API),但是最近我意识到一切都是不安全的….我可以简单地使用SQL注入绕过API密php-如何接受用于显示目的的编程代码输入?
在PHP中接受用户输入的编程代码,将其存储在数据库中并用HTML pre标签显示回来的最安全方法是什么? 我目前将输入转换为HTML实体,但以某种方式我认为这并不那么容易… 有什么建议么?解决方法:编程代码只是文本;如果不执行,不会造成任何伤害. 这意味着您需要关注: >保护数据库免受SQL注入筛选用于SQL注入的URL查询字符串-PHP
我得到了一个网站来修复最近使用SQL注入被黑客入侵的网站.据我所知,Havij自动SQL注入器用于将代码插入url的查询字符串参数中. 该网站是一个自定义的CMS版本,有些过时.我认为不可能全面重建. 防止这种情况再次发生的最佳方法是什么?我是PHP开发人员,但通常只是在表单上进行验证,或使php-从$_GET / $_ POST获取信息并将其保存到数据库的做法?
从获取/发布中获取信息并将信息保存到数据库时,当今的最佳实践是什么?数据仍然像过去那样逃脱了吗?还是有其他实践?另外,HTMLPurifier可以放在哪里?我目前正在使用它来过滤富文本.解决方法:从不将数据从GET保存到数据库. 即使您进行了充分的验证和转义,也永远不要保存GET中的数据. GETmysql-Codeigniter-活动记录容易受到SQL注入的攻击吗?
只需阅读Stack Overflow上的this,就让我想知道是否可以通过CI中的活动记录进行SQL注入. 在我项目的大多数地方,为了进行用户注册和用户配置文件更新,我都像这样进行了SQL插入: 控制器: $name = $this->input->post('name'); $last_name = $this->input->post('last_name'); $age = $php-bind_param()仅对用户输入的值或全部必需?
我一直在阅读SQL注入,但找不到这个问题的答案. 我了解我是否需要这样的查询 prepare("SELECT id, foo, bar FROM table WHERE username = ?"); 然后,我应该使用bind_param(‘s’,$username)避免SQL注入的可能性. 但是,如果我对不是用户输入的东西(例如自动生成的ID)运行查询,该怎python-SQLite查询限制
我正在构建一个小界面,希望用户能够写出他们的整个sql语句,然后查看返回的数据.但是,我不希望用户能够做任何有趣的事情,即从user_table;中删除.实际上,我希望用户能够做的唯一一件事就是运行select语句.我知道没有特定的SQLite用户,所以我在考虑要制定的一组拒绝某些查询的规则.也SQL注入与PHP过滤
我必须插入一个登录表单以进行有关计算机安全课程的练习….. 我已经使用简单的方法通过了第一级 ' like 1=1-- 在密码字段中,但是现在在第二级中,我必须再次注入具有相同源代码的相同登录表单,除了用户和pwd由称为lvl2_filter()的函数控制的事实,我认为它是过滤器的一部分.php并如何清理字符串以避免SQL注入和最常见的攻击类型? (在PHP中)
有没有办法以尽可能少的代码为SQL注入和最常见的攻击形式过滤字符串? 在我的脚本中我使用以下内容,我想知道它是否相当安全以及是否有其他人有建议: $cleanName = htmlspecialchars(addslashes($dirtyName)); 看看我如何过滤html字符以及引号和双引号. 注意:我使用的是addslashes