Articles of sql injection

Почему использование подготовленного оператора mysql более безопасно, чем использование общих функций эвакуации?

В другом вопросе есть комментарий, в котором говорится следующее: «Когда дело доходит до запросов к базе данных, всегда старайтесь использовать подготовленные параметризованные запросы. Библиотеки mysqli и PDO поддерживают это. Это бесконечно безопаснее, чем использование функций escaping, таких как mysql_real_escape_string». Источник Итак, я хочу спросить: почему подготовленные параметризованные запросы более безопасны?

Как исправить код состояния сервера: 302 Найден SQL Inject Me Firefox Addon

Я просмотрел свой сценарий входа в систему, используя SQL Inject Me Firefox addon Согласно результатам тестирования, мой скрипт был уязвим для SQL Injection. Результат по примеру Results: Server Status Code: 302 Found Tested value: &#49&#39&#32&#79&#82&#32&#39&#49&#39&#61&#39&#49 Server Status Code: 302 Found Tested value: 1' OR '1'='1 Server Status Code: 302 Found Tested value: 1 UNI/**/ON SELECT ALL FROM […]

Действительно ли mysql_real_escape_string () ПОЛНОСТЬЮ защищает от SQL-инъекции?

На http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat-sheet/?akst_action=share – это раздел, в котором утверждается, что вы можете обойти mysql_real_escape_string с некоторыми азиатскими кодировками символов Обход mysql_real_escape_string () с BIG5 или GBK "инъекционная строка" に 関 す る 追加 情報: вышеупомянутые символы – китайский Big5 Это правда? И если да, как бы вы защитили свой сайт от этого, если у вас не […]

mysqli подготовил операторы и mysqli_real_escape_string

В настоящее время я использую расширение mysqli php. Традиционно я использовал mysqli_real_escape_string, чтобы избежать ввода пользователем. Однако я рассматриваю возможность изменения кода (надеюсь, как можно меньше шагов) для использования подготовленных операторов. Я хочу быть ясным на этом – если я использую подготовленные инструкции для привязки всех моих переменных, могу ли я быть уверенным, что SQL-инъекция […]

насколько безопасны подготовленные заявления PDO

Начал работу с подготовленными инструкциями PDO не так давно, и, насколько я понимаю, он делает все возможное для вас. например, если $ _POST ['title'] является полем формы. $title = $_POST['title']; $query = "insert into blog(userID, title) values (?, ?)" $st = $sql->prepare($query); $st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT); $st->bindParam(2, $title); $st->execute(); Это действительно безопасно? Нужно ли мне что-то […]

Что такое PDO, как это связано с SQL-инъекцией и почему я должен использовать это?

На самом деле я сделал google и получил так много результатов, но я не могу понять, потому что я новичок в этой области. Итак, что является простым способом, что PDO, почему я должен использовать это, что такое SQL-инъекция и т. Д. С примером? 1 На самом деле теперь мой код такой. config.php <?php $mysql_hostname = […]