Поскольку существует так много допустимых символов для адресов электронной почты, существуют ли какие-либо действительные адреса электронной почты, которые сами по себе могут быть атаками XSS или SQL-инъекциями? Я не мог найти информацию об этом в Интернете. Локальная часть адреса электронной почты может использовать любой из этих символов ASCII: Верхние и строчные английские буквы (a-z, A-Z) […]
Мне было интересно, можно ли просто my_sql_escape построить весь массив $ _POST и $ _GET, чтобы вы не пропустили какие-либо переменные? Не уверен, как проверить это, или я бы сам. Благодаря!
Сценарий находится на PHP, а в качестве DB я использую MySQL. Вот сценарий. $unsafe_variable = $_GET["user-input"]; $sql=sprintf("INSERT INTO table (column) VALUES('%s')",$unsafe_variable); mysql_query($sql); Некоторые люди говорят, что если пользователь назначает ;DROP TABLE blah; string к переменной $ unsafe_variable удаляет таблицу. Но я попробовал этот пример, http://localhost/test.php?user-input=DROP%20TABLE%20my_table Но он не удалял таблицу, а вместо этого вставил новую […]
Я разрабатываю веб-приложение. Например, я использовал такие вещи, как Joomla в прошлом, чтобы сделать потрясающие вещи, но теперь, наконец, мои руки грязные с PHP, MySQL и CodeIgniter. Когда вы создаете серьезные веб-приложения, которые будут обрабатывать большие объемы данных, какие меры предосторожности следует принимать против моих данных, чтобы полностью их дезинфицировать? Я знаю, что есть очевидная […]
Я использую Yii 1, я хочу построить следующий запрос: $a = Model::model()->findAllBySql( 'SELECT * FROM table WHERE name like "%'.$_GET['name'].'%"' ); Чтобы предотвратить внедрение sql, я написал следующее: $a = Model::model()->findAllBySql( 'SELECT * FROM table WHERE name like "%:name%"', array("name"=>$_GET['name']) ); но он не возвратил данных. Есть ли ошибки в этом запросе?
Это мой код: $email= mysqli_real_escape_string($db_con,$_POST['email']); $psw= mysqli_real_escape_string($db_con,$_POST['psw']); $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')"; Может ли кто-нибудь сказать мне, является ли он безопасным или уязвим для атаки SQL Injection или других SQL-атак?
Я немного путаюсь, почему нам нужно указать тип данных, которые мы передаем в функции bindParam () в PDO в Php. Например, этот запрос: $calories = 150; $colour = 'red'; $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < ? AND colour = ?'); $sth->bindParam(1, $calories, PDO::PARAM_INT); $sth->bindParam(2, $colour, PDO::PARAM_STR, 12); $sth->execute(); Существует ли […]
Возможный дубликат: Лучший способ предотвратить SQL Injection в PHP Я просто обнаружил, что мой веб-сайт является призрачным. Так как он подключен к БД и имеет такие функции, как: Регистрация, смена пароля, уведомления и т. Д. … и SUPOSING, он полностью уязвим. Что я должен искать в коде, чтобы начать делать его безопасным? Я имею в […]
В порядке, Итак, я немного не уверен в этом. У меня есть имя пользователя параметра url. и у меня есть это утверждение SELECT * FROM users WHERE user_hash = md5($_GET['username']) Это безопасно? При создании учетной записи сохраняется хешированная версия имени пользователя и пароль. Я запутался, поскольку это кажется таким простым, если md5 останавливает SQL-инъекцию, почему […]
Я знаком с подготовленными заявлениями, и я знаю, что они лучше всего подходят для защиты от MySQL-инъекций. Но мне интересно, как это заявление PHP / MySQL может подвергаться риску инъекции: $result = mysqli_query($db,"SELECT name FROM users WHERE id = '".$_POST['name']."';"); Мне кажется, что вход пользователя будет содержаться внутри одинарных кавычек. Можете ли вы выполнить несколько […]