Preguntas etiquetadas con sql-injection

La inyección SQL es una técnica de inyección de código, utilizada para atacar aplicaciones basadas en datos, en la que se insertan sentencias SQL maliciosas en un campo de entrada para su ejecución (por ejemplo, para volcar el contenido de la base de datos al atacante).

28
¿Cómo puedo evitar la inyección de SQL en PHP?
Las respuestas de esta pregunta son un esfuerzo comunitario . Edite las respuestas existentes para mejorar esta publicación. Actualmente no acepta nuevas respuestas o interacciones. На этот вопрос есть ответы en Stack Overflow на русском : Каким образом избежать SQL-инъекций en PHP? Si la entrada del usuario se inserta sin …



7
¿Son suficientes las declaraciones preparadas por PDO para evitar la inyección de SQL?
Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentación de PDO dice: No es necesario citar los parámetros para las declaraciones preparadas; el conductor lo maneja por usted. ¿Es eso realmente …

4
Inyección SQL que evita mysql_real_escape_string ()
¿Existe una posibilidad de inyección de SQL incluso cuando se utiliza la mysql_real_escape_string()función? Considere esta situación de muestra. SQL se construye en PHP así: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; He escuchado a muchas personas decirme que un código como …





6
¿Htmlspecialchars y mysql_real_escape_string mantienen mi código PHP a salvo de la inyección?
Hoy temprano se hizo una pregunta sobre las estrategias de validación de entrada en aplicaciones web . La respuesta principal, en el momento de escribir este artículo, sugiere PHPsimplemente usar htmlspecialcharsy mysql_real_escape_string. Mi pregunta es: ¿esto es siempre suficiente? ¿Hay más que deberíamos saber? ¿Dónde se descomponen estas funciones?



21
Evitando la inyección de SQL sin parámetros
Tenemos otra discusión aquí en el trabajo sobre el uso de consultas sql parametrizadas en nuestro código. Tenemos dos lados en la discusión: yo y algunos otros que dicen que siempre deberíamos usar parámetros para protegernos de las inyecciones de sql y los otros chicos que no creen que sea …



Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.