Questions marquées «sql-injection»

L'injection SQL est une technique d'injection de code, utilisée pour attaquer des applications pilotées par les données, dans laquelle des instructions SQL malveillantes sont insérées dans un champ d'entrée pour exécution (par exemple pour vider le contenu de la base de données vers l'attaquant).

28
Comment puis-je empêcher l'injection SQL en PHP?
Les réponses à cette question sont un effort communautaire . Modifiez les réponses existantes pour améliorer ce post. Il n'accepte pas actuellement de nouvelles réponses ou interactions. На этот вопрос есть ответы на Stack Overflow à partir de : Каким образом избежать SQL-инъекций в PHP? Si l'entrée utilisateur est insérée …
7
Les instructions préparées par PDO sont-elles suffisantes pour empêcher l'injection SQL?
Disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentation PDO indique: Les paramètres des instructions préparées n'ont pas besoin d'être cités; le conducteur s'en charge pour vous. Est-ce vraiment tout ce …
4
Injection SQL qui contourne mysql_real_escape_string ()
Existe-t-il une possibilité d'injection SQL même lors de l'utilisation de la mysql_real_escape_string()fonction? Considérez cet exemple de situation. SQL est construit en PHP comme ceci: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; J'ai entendu de nombreuses personnes me dire qu'un code comme …
9
Comment les instructions préparées peuvent-elles se protéger des attaques par injection SQL?
Comment les instructions préparées nous aident-elles à empêcher les attaques par injection SQL ? Wikipedia dit: Les instructions préparées résistent à l'injection SQL, car les valeurs de paramètre, qui sont transmises ultérieurement à l'aide d'un protocole différent, n'ont pas besoin d'être correctement échappées. Si le modèle d'instruction d'origine n'est pas …
18
Puis-je me protéger contre l'injection SQL en échappant les guillemets simples et l'entrée utilisateur environnante avec des guillemets simples?
Je me rends compte que les requêtes SQL paramétrées sont le moyen optimal de nettoyer les entrées utilisateur lors de la création de requêtes contenant des entrées utilisateur, mais je me demande ce qui ne va pas avec la saisie des entrées utilisateur et en échappant aux guillemets simples et …
12
Est-il sûr de ne pas paramétrer une requête SQL lorsque le paramètre n'est pas une chaîne?
En termes d' injection SQL , je comprends parfaitement la nécessité de paramétrer un stringparamètre; c'est l'une des plus anciennes astuces du livre. Mais quand peut-il être justifié de ne pas paramétrer un SqlCommand? Certains types de données sont-ils considérés comme «sûrs» pour ne pas être paramétrés? Par exemple: Je …
21
Éviter l'injection SQL sans paramètres
Nous avons une autre discussion ici au travail sur l'utilisation de requêtes SQL paramétrées dans notre code. Nous avons deux côtés dans la discussion: moi et quelques autres qui disent que nous devrions toujours utiliser des paramètres pour se protéger contre les injections SQL et les autres gars qui ne …
11
Dois-je me prémunir contre l'injection SQL si j'utilise une liste déroulante?
Je comprends que vous ne devriez JAMAIS faire confiance aux entrées utilisateur d'un formulaire, principalement en raison du risque d'injection SQL. Cependant, cela s'applique-t-il également à un formulaire où la seule entrée provient d'une ou plusieurs listes déroulantes (voir ci-dessous)? J'enregistre le $_POST['size']dans une session qui est ensuite utilisée dans …
5
Empêcher l'injection SQL dans Node.js
Est-il possible d'empêcher les injections SQL dans Node.js (de préférence avec un module) de la même manière que PHP avait préparé des instructions qui les protégeaient. Si c'est le cas, comment? Sinon, quels sont quelques exemples qui pourraient contourner le code que j'ai fourni (voir ci-dessous). Un certain contexte: Je …
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.