Articles of code injection

Интерфейс с запущенными приложениями в PHP?

Я хотел бы знать, есть ли способ связаться с запущенной консольной программой (предпочтительно, на Linux / Debian) через PHP. В настоящее время я пытаюсь создать веб-интерфейс для небольшой (существующей) консоли Java-программы, и я понятия не имею, есть ли способ сделать это. Могу ли я «ввести» кусок кода, скажем, модуль удаленного управления, а затем использовать его […]

Какое время использовать real_escape_string? Когда данные поступают в POST или непосредственно перед составлением запроса?

Мы знаем, что для предотвращения проблем с SQL-инъекциями строковые значения должны быть экранированы перед составлением SQL-запроса, особенно для пользователей или других внешних источников. Когда это должно произойти? Должно ли это выполняться по мере того, как значение вводится в программу, сохраняя экранированное значение для последующего использования? Или следует сохранить неэкранированное значение и избежать его, как только […]

Отчет, подготовленный Mysqli (предупреждение SQL-инъекций)

после прекращения использования устаревших функций mysql_ * я переключился на mysqli. Но затем я заметил, что незаготовленные операторы не защищены от SQL-инъекции. Затем я снова изменил свой код. У меня была следующая функция, которая проверяет, существует ли переменная $ ID в базе данных и печатает значение заголовка для этой строки: function showPostTitle($ID, $mysqli) { $result […]

Правильный способ дезактивации ввода в MySQL с использованием PDO

поэтому у меня был мой друг, который пытался запустить SQLinjection на моем сайте, и ему удалось войти в него, используя код внизу. Как я могу это предотвратить? Я прочитал кое-что о дезинфекции переменных, но как это сделать? '; INSERT INTO login (имя пользователя, пароль) VALUES (' Gjertsmells ',' password '); SELECT' password 'FROM Login WHERE' […]

SQL-инъекция на INSERT

SQL Injection on INSERT, как описано здесь, похоже, не работает с MySQL. SQL-инъекция на INSERT Когда я использую это утверждение: INSERT INTO COMMENTS VALUES('122','$_GET[value1]'); При этом это значение переменной value1: '); DELETE FROM users; — Эта ошибка возвращается: Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL […]

PHP MySQLI Запретить SQL Injection

Я создаю веб-сайт, который скоро будет жить, и у меня есть пара вопросов о предотвращении SQL-инъекций, я понимаю, как использовать mysqli_real_escape_string но мне просто интересно, нужно ли мне использовать это для всех переменных, которые я получаю для мой SQL-оператор и должен ли я использовать его, когда я делаю также инструкции select или просто вставлять обновления […]

mysql инъекции ущерба?

Я только заметил, что моя функция mysql_real_escape_string не находится внутри '' в некоторых моих php-скриптах, и она была уязвима для инъекций и таких вещей, как sleep(30) выполненных на моем производственном сайте. Я иду по маршруту PDO и выполняя подготовленные заявления после многих чтений здесь. но это еще не реализовано. Несколько вопросов, я вижу в своих […]

Php & Sql Injection – UTF8 POC

Существует много разговоров о том, как функции addlashes и mysql_real_escape небезопасны для предотвращения инъекций. Истина заключается в том, что даже большие рамки или CMS, такие как WordPress, используют эти функции и до сих пор выполняют божественную работу. Я знаю, что есть некоторые конкретные сценарии при использовании кодировки GBK, или utf8_decode можно использовать для ввода некоторого […]

Php добавляет, что SQL-инъекция по-прежнему действительна?

Я знаю, что «параметризованные запросы» – это священный Грааль. Это не тема. Существует старая статья, которая, по-видимому, является ссылкой на все обсуждения, связанные с инъекциями sql при использовании addlashes. Это ссылка: http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string Мой вопрос: верно ли это доказательство концепции? Я попытался протестировать его, но, похоже, он работает правильно. Кто-нибудь еще на самом деле пробовал это […]

Чистая и безопасная строка в PHP

Возможные дубликаты: PHP: полная чистая / безопасная функция Каков наилучший метод для дезинфекции пользовательского ввода с помощью PHP? Что я должен добавить к своей функции, чтобы убедиться, что каждая строка, которая ее передает, будет «дружественной к серверу»? Я использую эту небольшую функцию для проверки входов, содержащих имена, адреса электронной почты и идентификаторы. function checkInput($str) { […]