トップ「Sql-injection」の質問

SQLインジェクションは、データ駆動型アプリケーションを攻撃するために使用されるコードインジェクション手法であり、悪意のあるSQLステートメントが実行のために入力フィールドに挿入されます(たとえば、データベースの内容を攻撃者にダンプするため)。

PHPでSQLインジェクションを防ぐにはどうすればよいですか?

次の例のように、ユーザー入力が変更なしでSQLクエリに挿入されると、アプリケーションはSQLインジェクションに対して脆弱になります。$unsafe_variable = $_POST['user_input']; mysql_query("INSERT […] 続きを読む…

php mysql sql security sql-injection

PHPでユーザー入力をサニタイズするにはどうすればよいですか?

特定の種類のHTMLタグを許可しながら、SQLインジェクションおよびXSS攻撃のユーザー入力をサニタイズするためにうまく機能するキャッチオール関数はどこかにありますか?

php security xss sql-injection user-input

Java-SQLインジェクションを防ぐためのエスケープ文字列

JavaでアンチSQLインジェクションを配置しようとしていますが、「replaceAll」文字列関数を使用するのが非常に難しいことがわかりました。 最終的には、既存の\を\\に、 "を\"に、 'を\'変換する関数が必要です。 \nから\\nまでの任意の値。これにより、文字列がMySQLで評価されるときにSQLインジェクションがブロックされます。作業していたコードをジャッキアップしましたが、関数内のすべての\\\\\\\\\\\が目が狂っています。 誰かがこれの例を持っているならば、私はそれを大いに感謝します。

java sql regex escaping sql-injection

mysql_real_escape_string()を回避するSQLインジェクション

mysql_real_escape_string()関数を使用している場合でもSQLインジェクションの可能性はありますか?このサンプルの状況を考えてみましょう。 SQLは次のようにPHPで構築されます。$login = mysql_real_ […] 続きを読む…

php mysql sql security sql-injection

PDOプリペアドステートメントはSQLインジェクションを防ぐのに十分ですか?

私がこのようなコードを持っているとしましょう:$dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM […] 続きを読む…

php security pdo sql-injection

「BobbyTables」XKCDコミックからのSQLインジェクションはどのように機能しますか?

見ているだけ: (出典: https : このSQLは何をしますか:Robert'); DROP TABLE STUDENTS; -- 'と--両方がコメント用であることは知っていますが、 DROPという単語も同じ行の一部であるため、コメントも付けられませんか?

security validation sql-injection

Node.jsでのSQLインジェクションの防止

PHPがそれらから保護するプリペアドステートメントを持っていたのと同じ方法で、Node.js(できればモジュールを使用)でSQLインジェクションを防ぐことは可能ですか?もしそうなら、どのように? そうでない場合、私が提供したコードをバイパスする可能性のあるいくつかの例は何ですか(以下を参照)。いくつかのコンテキスト:node-mysqlモジュールを使用して、Node.js + MySqlで構成されるバックエンドスタックを備えたWebアプリケーションを作成しています。 ユーザビリティの観点から、モジュールは素晴らしいですが、それはまだPHPのに似て何かを実装していないプリペアドステートメントを(私は承知しているものの、それは上にある […] 続きを読む…

javascript mysql node.js sql-injection node-mysql

SQLステートメントでパラメーターを使用することを常に好むのはなぜですか?

私はデータベースを扱うのはとても初めてです。 これで、 SELECT 、 UPDATE 、 DELETE 、およびINSERTコマンドを記述できます。 しかし、私たちが書くことを好む多くのフォーラムを見てきました:SELECT empSalary from employee where salary = @ […] 続きを読む…

sql sql-server sql-injection

プリペアドステートメントはSQLインジェクション攻撃からどのように保護できますか?

プリペアドステートメントは、 SQLインジェクション攻撃の防止にどのように役立ちウィキペディアによると:プリペアドステートメントは、後で別のプロトコルを使用して送信されるパラメーター値を正しくエスケープする必要がないため、SQLインジェクションに対して回復力があります。 元のステートメントテンプレートが外部入力から派生していない場合、SQLインジェクションは発生しません。理由がよくわかりません。 簡単な英語といくつかの例で簡単な説明は何でしょうか?

sql security sql-injection prepared-statement

PreparedStatementはSQLインジェクションをどのように回避または防止しますか?

PreparedStatementsがSQLインジェクションを回避/防止することを知っています。 それはどのようにそれをしますか? PreparedStatementsを使用して構築される最終的なフォームクエリは文字列またはそれ以外になりますか?

java sql jdbc prepared-statement sql-injection