Preguntas con la etiqueta [sql-injection]
¿Cómo puedo evitar la inyección de SQL en PHP?
Si la entrada del usuario se inserta sin modificaciones en una consulta SQL, entonces la aplicación se vuelve vulnerable a la inyección SQL , como en el siguiente ejemplo: $unsafe_variable
¿Ejemplos de inyecciones SQL mediante addlashes()?
En PHP, sé que mysql_real_escapees mucho más seguro que usar addslashes. Sin embargo, no pude encontrar un ejemplo de una situación en la que addslashesse pudiera realizar una inyección SQL.
Java: cadena de escape para evitar la inyección de SQL
Estoy intentando implementar alguna inyección anti sql en Java y me resulta muy difícil trabajar con la función de cadena "replaceAll". En última instancia, necesito una función que convierta cualquier
¿Cómo puedo evitar la inyección de SQL con nombres de tablas dinámicos?
Tuve esta discusión con un chico de PHP de gran reputación: La DOP no sirve aquí. así como mysql_real_escape_string. calidad extremadamente mala. Esto, por supuesto, es genial, pero honestamente no
¿Son suficientes las declaraciones preparadas por PDO para evitar la inyección de SQL?
Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentación DOP dice:
¿htmlspecialchars y mysql_real_escape_string mantienen mi código PHP a salvo de inyecciones?
Hoy se hizo una pregunta sobre las estrategias de validación de entradas en aplicaciones web . La respuesta principal, al momento de escribir este artículo, sugiere PHPsimplemente usar htmlspecialcharsy mysql_real_escape_string.
¿Cómo puedo desinfectar la entrada del usuario con PHP?
¿Existe alguna función general que funcione bien para desinfectar la entrada del usuario para inyección SQL y ataques XSS, y al mismo tiempo permita ciertos tipos de etiquetas HTML?
¿Cómo pueden las declaraciones preparadas protegerse de los ataques de inyección SQL?
¿ Cómo nos ayudan las declaraciones preparadas a prevenir ataques de inyección SQL ? Wikipedia dice: Las declaraciones preparadas son resistentes a la inyección de SQL, porque no es necesario
¿Cómo funciona la inyección SQL del cómic XKCD "Bobby Tables"?
Solo mirando: (Fuente: https://xkcd.com/327/ ) ¿Qué hace este SQL? Robert'); DROP TABLE STUDENTS; -- Conozco ambos 'y --son para comentarios, pero ¿la palabra no DROPse comenta también ya que es
Inyección SQL que evita mysql_real_escape_string()
¿Existe la posibilidad de inyección SQL incluso cuando se utiliza mysql_real_escape_string()la función? Considere esta situación de muestra. SQL se construye en PHP así: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql
