sql-injection पर टैग किए गए जवाब

इस प्रश्न के उत्तर सामुदायिक प्रयास हैं । इस पोस्ट को बेहतर बनाने के लिए मौजूदा उत्तरों को संपादित करें। यह वर्तमान में नए उत्तरों या इंटरैक्शन को स्वीकार नहीं कर रहा है। На этот вопрос есть ответы на स्टैक ओवरफ़्लो на русском : Каким образом избежать एसक्यूएल-инъекций в पीएचपी? …

2773 php  mysql  sql  security  sql-injection 

वहाँ कहीं एक catchall समारोह है कि SQL इंजेक्शन और XSS हमलों के लिए उपयोगकर्ता इनपुट sanitizing के लिए अच्छी तरह से काम करता है, जबकि अभी भी कुछ प्रकार के HTML टैग की अनुमति है?

1124 php  security  xss  sql-injection  user-input 

बस देख रहा हूँ: (स्रोत: https://xkcd.com/327/ ) यह एसक्यूएल क्या करता है: Robert'); DROP TABLE STUDENTS; -- मैं दोनों जानते हैं 'और --टिप्पणियों के लिए हैं, लेकिन शब्द नहीं है DROP, क्योंकि यह एक ही पंक्ति का हिस्सा है और साथ ही टिप्पणी की हो?

1092 security  validation  sql-injection 

मान लीजिए कि मेरे पास इस तरह का कोड है: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); पीडीओ प्रलेखन कहता है: तैयार बयानों के मापदंडों को उद्धृत करने की आवश्यकता नहीं है; ड्राइवर आपके लिए इसे संभालता है। …

661 php  security  pdo  sql-injection 

mysql_real_escape_string()फ़ंक्शन का उपयोग करते समय क्या कोई SQL इंजेक्शन संभावना भी है ? इस नमूना स्थिति पर विचार करें। SQL का निर्माण PHP में इस प्रकार किया जाता है: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; मैंने सुना है कि कई …

645 php  mysql  sql  security  sql-injection 

कैसे तैयार बयान हमें SQL इंजेक्शन के हमलों को रोकने में मदद करते हैं ? विकिपीडिया कहता है: तैयार किए गए बयान एसक्यूएल इंजेक्शन के खिलाफ लचीला होते हैं, क्योंकि पैरामीटर मान, जो बाद में एक अलग प्रोटोकॉल का उपयोग करके प्रेषित होते हैं, सही ढंग से बच निकलने की …

172 sql  security  sql-injection  prepared-statement 

मैं जावा में जगह-जगह कुछ एंटी एसक्यूएल इंजेक्शन लगाने की कोशिश कर रहा हूं और "रिप्लेसमेंट" स्ट्रिंग फंक्शन के साथ काम करना बहुत मुश्किल हो रहा है। अंततः मुझे एक फ़ंक्शन की आवश्यकता है जो किसी भी मौजूदा \को \\, किसी "को \", किसी 'को \', और किसी \nको भी …

146 java  sql  regex  escaping  sql-injection 

मुझे एहसास हुआ कि पैरामीटर क्वेरी एसक्यूएल उपयोगकर्ता इनपुट का निर्माण करते समय उपयोगकर्ता इनपुट को साफ करने का सबसे इष्टतम तरीका है, लेकिन मैं सोच रहा हूं कि उपयोगकर्ता इनपुट लेने और किसी भी एकल उद्धरण से बचने और एकल उद्धरण के साथ पूरे स्ट्रिंग के आसपास क्या गलत …

139 sql  security  sql-server-2000  sql-injection  sanitization 

मुझे पता है कि एसक्यूएल इंजेक्शन तैयार करने / रोकने से पूर्व उपचार किया जाता है। इससे ऐसा कैसे होता है? क्या अंतिम रूप क्वेरी जो तैयार की गई है, का उपयोग करके तैयार की गई स्ट्रिंग एक स्ट्रिंग होगी या अन्यथा?

122 java  sql  jdbc  prepared-statement  sql-injection 

इससे पहले आज वेब ऐप्स में इनपुट सत्यापन रणनीतियों के बारे में एक सवाल पूछा गया था । लेखन के समय शीर्ष उत्तर, PHPकेवल उपयोग करने में htmlspecialcharsऔर सुझाव देता है mysql_real_escape_string। मेरा सवाल है: क्या यह हमेशा पर्याप्त है? क्या और भी बहुत कुछ हमें पता होना चाहिए? ये …

116 php  security  xss  sql-injection 

मैं डेटाबेस के साथ काम करने के लिए बहुत नया हूं। अब मैं लिख सकते हैं SELECT, UPDATE, DELETE, और INSERTआदेशों। लेकिन मैंने कई मंचों को देखा है जहाँ हम लिखना पसंद करते हैं: SELECT empSalary from employee where salary = @salary ...के बजाय: SELECT empSalary from employee where salary …

114 sql  sql-server  sql-injection 

SQL इंजेक्शन के संदर्भ में , मैं पूरी तरह से एक stringपैरामीटर को मानकीकृत करने की आवश्यकता समझता हूं ; यह पुस्तक की सबसे पुरानी चालों में से एक है। लेकिन जब यह करने के लिए उचित हो सकता है नहीं एक parameterize SqlCommand? क्या किसी भी डेटा प्रकार को …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

हम अपने कोड में पैराट्राइज्ड एसक्यूएल प्रश्नों का उपयोग करने के बारे में यहां एक और चर्चा कर रहे हैं। चर्चा में हमारे दो पक्ष हैं: मुझे और कुछ अन्य लोगों का कहना है कि हमें हमेशा sql इंजेक्शन से बचाव के लिए मापदंडों का उपयोग करना चाहिए और अन्य …

109 c#  asp.net  sql-server  sql-injection 

मैं समझता हूं कि आपको एक फॉर्म से उपयोगकर्ता इनपुट पर भरोसा करना चाहिए, मुख्यतः SQL इंजेक्शन की संभावना के कारण। हालाँकि, क्या यह ऐसे फॉर्म पर भी लागू होता है, जहां एकमात्र इनपुट ड्रॉपडाउन (एस) से है (नीचे देखें)? मैं $_POST['size']एक सत्र के लिए बचत कर रहा हूं, जो …

96 php  mysql  mysqli  sql-injection 

क्या Node.js में SQL इंजेक्शन को रोकना संभव है (अधिमानतः एक मॉड्यूल के साथ) जिस तरह से PHP ने तैयार किए गए कथन को उनके खिलाफ संरक्षित किया था। यदि हां, तो कैसे? यदि नहीं, तो कुछ उदाहरण हैं जो मेरे द्वारा प्रदान किए गए कोड को बायपास कर सकते …

86 javascript  mysql  node.js  sql-injection  node-mysql