我目前正在编写一个应用程序,它需要可靠的安全性来防止SQL注入。我的问题是。是否绝对需要将输入参数与准备语句分开以防止SQL注入,或者是否可以简单地准备任何语句以确保它没有SQL注入?换句话说,我可以使用mysqli_prepare作为简单的检查,以确保在我之前构造的语句中没有注入SQL吗?或者是绑定参数的整个过程,并使用返回的后续语句结构来处理从服务器返回的信息?
浏览 2提问于2013-06-03得票数 1
回答已采纳
准备好的语句是提供了很好的保护,防止SQL注入,并且使用手动向sql查询中注入变量是邪恶,并且永远不会执行。
但是呢?与准备好的语句相比,它是否提供了与sql注入相同的保护级别?如果它确实提供了防止sql注入的保护,那么它总是正确的还是只有当您显式地绑定参数时才是真的?
浏览 4提问于2017-02-16得票数 4
回答已采纳
有没有一个静态分析工具来识别php/mysql的sql注入?
在php脚本上运行的工具将分析sql语句,并查找sql语句是否存在任何可能的sql注入可能性。
浏览 2提问于2011-05-20得票数 2
当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?LIMIT 1"; let params = [username
浏览 5提问于2018-05-11得票数 2
我对SQL注入很陌生,我想问一些有关update语句的问题。(不问如何预防注射.)例如,如何使用SQL注入将update语句注入update语句)mysql_query"', Ip ='$ip' ,Sex ='sex' WHERE id='$id'")
你
浏览 5提问于2017-10-14得票数 0
回答已采纳
我们使用benchmark()函数不断地获得sql注入,并对servers.the sql注入语句造成了沉重的负载。
benchmark()类似于MySQL函数,这些函数可能在SQL注入中使用?
浏览 2提问于2014-05-06得票数 0
1回答
我正在学习SQL注入教程。我不明白SQL语句的一个方面,该语句用于确定表中的不同列将显示在网页上,然后用于执行语句的位置。以前的SQL注入语句用于确定表中的列数,即6列。SELECT * FROM TableName Where id=12 union all select 1,2,3,4,5,6
我已经研究了SELECT和UNION语句,并且还没有弄清楚到底发生了什么我的想法是,第二个select语句</e
浏览 3提问于2017-10-25得票数 0
回答已采纳
5回答
我最近继承了一个经典的asp网站,它有大量的内联SQL insert语句,容易受到SQL注入攻击。
这些insert语句通过ADO命令对象执行。将ADO Command对象的Prepared属性设置为true是否可以确保查询在执行之前被参数化,从而降低SQL注入的风险?
浏览 2提问于2009-10-06得票数 8
回答已采纳
3回答
我有一个jsp代码,它的查询如下,它是从Select * from MyTable where Column1 = a; Delete from MyTable;我们如何做这样的sql注入呢?
浏览 1提问于2012-08-17得票数 0
2回答
我正在对站点上的所有sql语句进行重新编码,以使用PDO和准备好的语句。我已经尽了最大努力了解SQL注入的工作原理,所以我有一个问题。由于用户没有任何输入,这能被注入吗?我知道可以注入使用带有标题变量的数据向下钻取的页面,因为用户可以干扰标题,但是如果SQL被编码到页面中,而不需要任何外部变量,它可以被注入吗?
浏览 0提问于2013-02-24得票数 0
回答已采纳
1回答
在下面的代码中,我一直在面对二阶SQL注入我的常量文件是:GET_QUERY="Select * from MyClass where id=:id ";我们应该在接口中声明常量吗?
浏览 0提问于2016-05-05得票数 1
1回答
准备好的语句有助于防止SQL注入攻击。
我试着在巴列利纳找到准备好的陈述。但上面没有任何文件。如果芭蕾舞演员支持准备语句,我想知道如何在巴列利纳中实现准备语句,或者如果芭蕾舞者不支持SQL注入攻击。
浏览 3提问于2019-08-19得票数 0
回答已采纳
1回答
我阅读了许多关于堆栈溢出的文章,内容涉及如何使用准备好的语句来防止SQL注入。一些投入:
SELECT * FROM users WHERE username = 'xxx@xxx.xxx' OR 1 = 1 LIMIT 1 -- ' ] AND passwordemail = 'xxx@xxx.xxx' AND
浏览 1提问于2015-05-11得票数 2
回答已采纳
1回答
当用户第一次在我的网站上创建帐户时,他们输入他们的用户名和密码,这两个都是通过一个准备好的语句来防止SQL注入。但稍后我将从数据库中获取用户名,并在查询中使用它。这还会让我受到攻击吗?对于这个查询,我也需要使用预准备语句吗?我是否需要对用户从数据库中输入的所有信息使用预准备语句,即使它在第一次输入时已经通过了预准备语句?假设第一次输入时通过预准备语句输入的所有数据都是安全的,这是安全的吗?
浏览 0提问于2017-01-27得票数 2
2回答
在链接兄弟问题中,解释的结论是否定的,PDO准备好的语句不足以100%防止SQL注入。有某些边缘情况和PDO设置易受SQL注入的影响。我的问题是,MySQLi准备好的语句是否100%足以防止SQL注入,还是也有一些我们需要更新以确保完全安全的设置?
谢谢你的帮助!
浏览 6提问于2015-11-17得票数 1
正如我们所知道的,避免sql注入的最好方法是使用带有绑定变量的预准备语句。但是我有疑问,如果我只使用准备好的语句而不使用绑定变量,比如下面客户id来自用户界面PreparedStatement stmt = con.prepareStatement(query); //line1
即使我没有使用绑定变量,第1行也会注意限制sql
浏览 1提问于2013-04-23得票数 1
回答已采纳
4回答
我想确保我能够防止任何类型的sql注入。所以用户输入595959,我在动态查询中将该值构建为'595959‘。是否仍有可能在此查询中进行sql注入攻击?我知道使用prepare语句来防止sql注入,但是prepare语句可能需要我的应用程序进行大量的开发工作,所以我正在寻找一种更省时、更容易的方法来修复大多数可以注入的sql语句。
浏览 1提问于2011-03-01得票数 0
回答已采纳
据我所知,sql注入定义是:假设我有一个具有textarea输入的联系人表单。这是否被视为SQL注入?
浏览 1提问于2018-04-08得票数 0
回答已采纳
3回答
一个普通的基于UNION的SQL注入可以使用过滤关键字如UNION, SELECT的网站管家来阻止。但是我知道它可以被SQL的内联注释语句所绕过,比如/*!UNION*/和/*!SELECT*/。注释语句仅用于阅读目的,对吧?如果是这样,SQL服务器如何读取注释中的注入查询并执行它?
浏览 2提问于2012-09-13得票数 1
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
