我目前正在开发一个Flask restful API,它可以根据区域搜索特定距离内的医生。我想确切地知道它容易受到哪种类型的SQL注入的攻击,因为sqllite3不允许在一条语句中使用多个命令。它有两个不同的表与之关联,但我已经在API代码中包含了相关的表和sqllite查询的样子。API本身是相当大的,所以你必须原谅我没有张贴整个事情。from
浏览 22提问于2019-06-11得票数 1
2回答
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。谢谢
浏览 0提问于2016-06-20得票数 3
我读过sql注入漏洞可能非常危险,因为服务器可能泄露用户密码和信用卡信息。SELECT * FROM users WHERE name = '" + userName + "';
浏览 0提问于2012-09-26得票数 0
3回答
注入漏洞主要是设计问题还是实现问题?我以SQL注入为例;我也对其他注入漏洞感兴趣。缺少参数化(不使用API,而是直接使用字符串在代码中构建SQL命令)
一些人说这主要是一个设计缺陷,但我不知道为什么.
浏览 0提问于2020-02-07得票数 2
:我需要找到一种方法来查看这是否是"TimeOccurred“列,以及它是否以不同的方式过滤结果。由于某些原因,在加载页面时只执行var_dump会导致json错误,因此不确定为什么php文件中间的随机var_dump会对返回的json数据产生任何影响,因为如果我正确理解它,它实际上不会改变任何东西编辑2*
如果我提到有关的php文件是通过AJAX调用并返回json编码的数据,可能会有所
浏览 2提问于2017-06-22得票数 0
回答已采纳
1回答
Firebase是一个noSQL数据库,它的工作方式与SQL不同,那么我们如何清理数据呢?例如,即使在firebase文档中,我似乎也找不到用于firebase数据库的mysqli_real_escape_string命令。有人能在这方面给我一些建议吗?我也很感激,如果有人可以给我一个论坛的链接,关于这一点等。渴望了解这个:>谢谢
浏览 55提问于2018-01-22得票数 11
回答已采纳
我想知道的字符逃避,何时和如何,为网站的安全(不是偏执狂,但良好的安全)(和性能)。我现在就是这样做的://I set the utf8 charset everywhere$str = trim($_POST[query$stmt =
浏览 1提问于2017-10-26得票数 0
我需要在网站中演示SQL注入,但是我的网站使用knockout.js数据绑定来接收类型为POST和dataType JSON的AJAX对象。js"></script><script> </script>
SQL注入可以在这
浏览 32提问于2017-02-21得票数 0
前端使用HTML/CSS/Javascript中的静态文件,并使用Backbone.js jQuery调用REST后端
事实上,我认为如果我在javascript中完成所有事情,就不可能在前端执行一个安全的应用程序,所以我打算将身份验证/授权委托给服务器前
浏览 0提问于2011-12-17得票数 16
回答已采纳
1回答
几个星期以来,我一直在尽可能多地收集有关用RESTful实现PHP的信息,但都是徒劳的。网上提供的所有信息只解释了最基本的概念,但我从来没有遇到过一个非常真实的示例,其中包含了RESTapi实际工作原理的完整代码。
例如,POST用于创建新资源。但是怎么做呢?它在现实生活中是如何实现的?我如何在cURL中做到这一点?我知道完整的基础知识,但找不到任何具体和完整的例子来解释一切。大多
浏览 0提问于2016-06-30得票数 0
1回答
我所在的公司使用REST进行数据库访问。因此,基本上,您只需提供一个SQL语句字符串,REST就会返回一个Datatable。现在,我不确定如何防止SQL注入,因为我不能像往常一样使用参数来生成SQL命令,因为我必须为REST提供一个SQL语句字符串。
浏览 2提问于2019-10-03得票数 0
回答已采纳
1回答
我正在摆弄我朋友的代码(他给了我100%的权限来测试他的web应用程序),我发现了一个漏洞,允许我查看他的代码片段。
浏览 0提问于2017-03-22得票数 0
如果存在app,则会提供正确的输出,但如果不存在,则会得到内部服务器错误500。在这种情况下,它真的是一个SQL注入漏洞吗?我可以强制sqlmap使用这个URL作为帮助吗?
浏览 0提问于2016-09-06得票数 0
1回答
我需要创建自动测试,以检查我的.NET框架WebAPI端点是否存在SQL漏洞。如果有人有在SQL注入测试中集成诸如SQLMAP之类的手动工具的</e
浏览 1提问于2022-05-26得票数 0
1回答
我需要更新一个C# .NET框架库,它处理我们大多数的.NET任务。当前,此库容易受到SQL注入的攻击。
我发现使用参数化查询可以防止SQL注入。但是,对于我们的许多程序,我们使用的是变量tableNames、变量columnNames,有时甚至是动态的列范围(即在部署之后,可以将额外的列添加到表中,并且软件可以对这些列执行CRUD操作)。据我所知,在使用参数化查询时,不可能为co
浏览 5提问于2022-02-15得票数 0
我的尺码是8000。我的安全措施:
我想知道这么大的规模是否还有其他(安全)风险或我应该注意的性能问题?
浏览 3提问于2015-08-02得票数 1
回答已采纳
1回答
我在github上使用了一个SQLi工具,最近我看到了开发人员和用户之间的对话。用户试图注入并得到一些错误,在请求中有一个反csfr令牌。然后,开发人员告诉用户,他们不知道他们在处理什么,并关闭了这个问题,因为其中一个,他们试图强制一个不正确的数据库,而第二个,他们已经得到了令牌。现在我不是说开发人员错了,我只是好奇。如果我是对的,CSFR和SQLi是两个完全不同的漏洞,并不是相互对应的。如果您有一个令牌,这一切都不错,但它不会对您的SQLi有
浏览 0提问于2017-08-02得票数 1
回答已采纳
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。我有一个简单的NewsPost模型,我已经创建了一个路径,将响应上述网址在我的网络应用程序。执行的SQL</em
浏览 0提问于2019-11-21得票数 1
云服务器
ICP备案
云直播
腾讯会议
实时音视频
腾讯云开发者
