这些 SQL 查询是否会受到 SQL 注入攻击?
在一些友好的 Stack Overflow 成员的大力帮助下(特别感谢 Martin B 和 Kev Chadders),我重新编写了我的代码。我现在想检查我的代码在完成这项工作…
SQL注入和两个查询
因此,我阅读了有关 SQL 注入的文章,其中有一个示例: SELECT * FROM table_name WHERE smth = 'x' UPDATE table_name SET smth ='[email protec…
PHP magic_quotes_gpc 漏洞
我被分配到公司的一个遗留 Web 应用程序,经过一两天的研究源代码,我发现了一个类似于以下内容的 SQL 注入向量: mysql_query("SELECT * FROM foo WH…
Rails 控制器中创建方法的 SQL 注入预防
正如 comment_controller.rb 中所示: def create @comment = Comment.new(params[:comment]) @comment.save end 我假设这是 SQL 注入不安全的。但正…
这是聪明还是不聪明?
可以使用此代码来修剪和转义我的注册函数中的所有帖子吗?或者更好的做法是修剪和转义每个输入 // Trim and sanitize our input $_POST = array_map('…
关于代码扫描/渗透测试工具的建议
据我所知,这些产品分为两类 - 扫描服务(例如 McAfee、Comodo 等)和工具(例如 Burp Proxy、HP 的 WebInspect、CodeScan 等)。 在理想的情况下,我…
我应该如何在 mysql_query 函数中编写 PHP $_POST 变量?
在访问我的数据库时,我让用户填写一个表单,然后在目标页面中,发布的值将用于生成的 MySQL 查询中。 $query = mysql_query("SELECT pass FROM datab…
这种完全没有安全考虑的SQL注入怎么能行得通呢?
bob') drop table students -- 在 PHP 中,这会失败: mysql("statement1statement2") 只能有一个语句,所以我真的怀疑上面的注入实际上是如何工作的…
担心 Winforms 项目中的 SQL 注入有什么意义吗?
在 SO 和其他地方,如果没有人礼貌地指出最好使用参数化输入和存储过程,则几乎不可能在示例代码中发布长连接的 SQL 指令。 最近的示例 在这里。 但是…
如何阻止该查询的 SQL 注入?
现在我有了这个表单后脚本, <? if(isset($_POST['baslik'])) { $sql = "INSERT INTO yazilar (baslik, spot, spot_kisa, spot_resim, spot_resim_i…
保护 Delphi 应用程序中的字符串
我们有一个驱动 MS SQL Server 数据库的 Delphi 2006 应用程序。 我们发现了一个漏洞,可以将可执行文件加载到十六进制编辑器中并修改 SQL。 我们的长…
PHP mysql_real_escape_string() 是否保护数据库名称?
我知道 mysql_real_escape_string() 在以下字符前面加上反斜杠:\x00、\n、\r、\、'、" 和 \x1a 我知道这如何保护查询免于注入类似 where 子句中的变…
