Preguntas etiquetadas con sql-injection

Las respuestas de esta pregunta son un esfuerzo comunitario . Edite las respuestas existentes para mejorar esta publicación. Actualmente no acepta nuevas respuestas o interacciones. На этот вопрос есть ответы en Stack Overflow на русском : Каким образом избежать SQL-инъекций en PHP? Si la entrada del usuario se inserta sin …

2773 php  mysql  sql  security  sql-injection 

¿Existe una función de captura en algún lugar que funcione bien para desinfectar la entrada del usuario para la inyección SQL y los ataques XSS, al tiempo que permite ciertos tipos de etiquetas HTML?

1124 php  security  xss  sql-injection  user-input 

Solo mirando: (Fuente: https://xkcd.com/327/ ) ¿Qué hace este SQL? Robert'); DROP TABLE STUDENTS; -- Sé ambos 'y --son para comentarios, pero ¿la palabra no DROPse comenta también ya que es parte de la misma línea?

1094 security  validation  sql-injection 

Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentación de PDO dice: No es necesario citar los parámetros para las declaraciones preparadas; el conductor lo maneja por usted. ¿Es eso realmente …

660 php  security  pdo  sql-injection 

¿Existe una posibilidad de inyección de SQL incluso cuando se utiliza la mysql_real_escape_string()función? Considere esta situación de muestra. SQL se construye en PHP así: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; He escuchado a muchas personas decirme que un código como …

644 php  mysql  sql  security  sql-injection 

¿Cómo nos ayudan las declaraciones preparadas a prevenir ataques de inyección SQL ? Wikipedia dice: Las declaraciones preparadas son resistentes frente a la inyección de SQL, porque los valores de los parámetros, que se transmiten más tarde utilizando un protocolo diferente, no necesitan ser escapados correctamente. Si la plantilla de …

172 sql  security  sql-injection  prepared-statement 

Estoy tratando de poner un poco de inyección anti SQL en Java y me resulta muy difícil trabajar con la función de cadena "replaceAll". En última instancia, necesito una función que convierta cualquier existente \a \\, any "a \", any 'a \'y any \na \\npara que cuando la cadena sea …

146 java  sql  regex  escaping  sql-injection 

Me doy cuenta de que las consultas SQL parametrizadas son la forma óptima de desinfectar la entrada del usuario al crear consultas que contienen entrada del usuario, pero me pregunto qué hay de malo en tomar la entrada del usuario y escapar de las comillas simples y rodear toda la …

139 sql  security  sql-server-2000  sql-injection  sanitization 

Sé que PreparedStatements evita / previene la inyección de SQL. ¿Como hace eso? ¿La consulta de formulario final que se construye utilizando PreparedStatements será una cadena o no?

122 java  sql  jdbc  prepared-statement  sql-injection 

Hoy temprano se hizo una pregunta sobre las estrategias de validación de entrada en aplicaciones web . La respuesta principal, en el momento de escribir este artículo, sugiere PHPsimplemente usar htmlspecialcharsy mysql_real_escape_string. Mi pregunta es: ¿esto es siempre suficiente? ¿Hay más que deberíamos saber? ¿Dónde se descomponen estas funciones?

116 php  security  xss  sql-injection 

Soy muy nuevo en el trabajo con bases de datos. Ahora puedo escribir SELECT, UPDATE, DELETE, y INSERTcomandos. Pero he visto muchos foros donde preferimos escribir: SELECT empSalary from employee where salary = @salary ...en vez de: SELECT empSalary from employee where salary = txtSalary.Text ¿Por qué siempre preferimos usar …

114 sql  sql-server  sql-injection 

En términos de inyección SQL , entiendo completamente la necesidad de parametrizar un stringparámetro; ese es uno de los trucos más antiguos del libro. Pero, ¿cuándo se puede justificar no parametrizar un SqlCommand? ¿Algún tipo de datos se considera "seguro" para no parametrizar? Por ejemplo: Yo no me considero en …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

Tenemos otra discusión aquí en el trabajo sobre el uso de consultas sql parametrizadas en nuestro código. Tenemos dos lados en la discusión: yo y algunos otros que dicen que siempre deberíamos usar parámetros para protegernos de las inyecciones de sql y los otros chicos que no creen que sea …

109 c#  asp.net  sql-server  sql-injection 

Entiendo que NUNCA debe confiar en la entrada del usuario desde un formulario, principalmente debido a la posibilidad de inyección SQL. Sin embargo, ¿esto también se aplica a un formulario en el que la única entrada proviene de un menú desplegable (ver más abajo)? Estoy guardando el $_POST['size']en una sesión …

96 php  mysql  mysqli  sql-injection 

He estado predicando a mis colegas y aquí en SO sobre la bondad de usar parámetros en consultas SQL, especialmente en aplicaciones .NET. Incluso he ido tan lejos como para prometerles que darían inmunidad contra los ataques de inyección SQL. Pero empiezo a preguntarme si esto realmente es cierto. ¿Existe …

83 asp.net  sql  database  sql-injection