L'injection SQL est une technique d'injection de code, utilisée pour attaquer des applications pilotées par les données, dans laquelle des instructions SQL malveillantes sont insérées dans un champ d'entrée pour exécution (par exemple pour vider le contenu de la base de données vers l'attaquant).
Les réponses à cette question sont un effort communautaire . Modifiez les réponses existantes pour améliorer ce post. Il n'accepte pas actuellement de nouvelles réponses ou interactions. На этот вопрос есть ответы на Stack Overflow à partir de : Каким образом избежать SQL-инъекций в PHP? Si...
Existe-t-il une fonction catchall quelque part qui fonctionne bien pour nettoyer les entrées utilisateur pour l'injection SQL et les attaques XSS, tout en autorisant certains types de balises
En regardant simplement: (Source: https://xkcd.com/327/ ) Que fait ce SQL: Robert'); DROP TABLE STUDENTS; -- Je connais les deux 'et je suis --pour les commentaires, mais le mot n'est-il pas DROPaussi commenté puisqu'il fait partie de la même
Disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentation PDO indique: Les paramètres des instructions préparées n'ont pas...
Existe-t-il une possibilité d'injection SQL même lors de l'utilisation de la mysql_real_escape_string()fonction? Considérez cet exemple de situation. SQL est construit en PHP comme ceci: $login = mysql_real_escape_string(GetFromPost('login')); $password =
Comment les instructions préparées nous aident-elles à empêcher les attaques par injection SQL ? Wikipedia dit: Les instructions préparées résistent à l'injection SQL, car les valeurs de paramètre, qui sont transmises ultérieurement à l'aide d'un protocole différent, n'ont pas besoin d'être...
J'essaie de mettre en place une injection anti SQL en java et je trouve très difficile de travailler avec la fonction de chaîne "replaceAll". En fin de compte, j'ai besoin d'une fonction qui convertira tout existant \en \\, tout "en \", tout 'en \'et tout en \nde \\nsorte que lorsque la chaîne est...
Je me rends compte que les requêtes SQL paramétrées sont le moyen optimal de nettoyer les entrées utilisateur lors de la création de requêtes contenant des entrées utilisateur, mais je me demande ce qui ne va pas avec la saisie des entrées utilisateur et en échappant aux guillemets simples et en...
Je sais que PreparedStatements évite / empêche l'injection SQL. Comment fait-il cela? La requête de formulaire finale construite à l'aide de PreparedStatements sera-t-elle une chaîne ou
Plus tôt dans la journée, une question a été posée concernant les stratégies de validation des entrées dans les applications Web . La première réponse, au moment de la rédaction de cet article, suggère d' PHPutiliser simplement htmlspecialcharset mysql_real_escape_string. Ma question est la...
Je suis très novice dans le domaine des bases de données. Maintenant , je peux écrire SELECT, UPDATE, DELETEet les INSERTcommandes. Mais j'ai vu de nombreux forums où nous préférons écrire: SELECT empSalary from employee where salary = @salary ...au lieu de: SELECT empSalary from employee where...
En termes d' injection SQL , je comprends parfaitement la nécessité de paramétrer un stringparamètre; c'est l'une des plus anciennes astuces du livre. Mais quand peut-il être justifié de ne pas paramétrer un SqlCommand? Certains types de données sont-ils considérés comme «sûrs» pour ne pas être...
Nous avons une autre discussion ici au travail sur l'utilisation de requêtes SQL paramétrées dans notre code. Nous avons deux côtés dans la discussion: moi et quelques autres qui disent que nous devrions toujours utiliser des paramètres pour se protéger contre les injections SQL et les autres gars...
Je comprends que vous ne devriez JAMAIS faire confiance aux entrées utilisateur d'un formulaire, principalement en raison du risque d'injection SQL. Cependant, cela s'applique-t-il également à un formulaire où la seule entrée provient d'une ou plusieurs listes déroulantes (voir ci-dessous)?...
Est-il possible d'empêcher les injections SQL dans Node.js (de préférence avec un module) de la même manière que PHP avait préparé des instructions qui les protégeaient. Si c'est le cas, comment? Sinon, quels sont quelques exemples qui pourraient contourner le code que j'ai fourni (voir...