Я пытаюсь настроить PHP-запросы для MySQL таким образом, чтобы предотвратить внедрение SQL (стандартный веб-сайт). У меня было несколько запросов INSERT, в которых изменение было сработало хорошо, но в следующем SELECT я продолжаю получать ошибку с момента обновления, и похоже, что цикл while не работает с изменениями, которые я сделал (он работает хорошо, не используя инструкцию […]
Возможный дубликат: Как предотвратить SQL-инъекцию в PHP? Я работаю на веб-сайте для потокового видео для моей библиотеки колледжа. Я использую PHP и MySql. Я не использовал какие-либо параметризованные запросы в этом проекте. Недавно я узнал о SQL Injections. Теперь, когда мой код почти завершен, и я должен представить проект в ближайшие два дня, как я […]
Используя PHP, как лучше всего хранить специальные символы (например, следующие) в базе данных MSQUL, чтобы избежать инъекций. « " ' é à ù Вот как я это делаю сейчас: $book_text=$_POST['book_text']; $book_text=htmlentities($book_text, "ENT_QUOTES"); $query=//DB query to insert the text Затем: $query=//DB query to select the text $fetch=//The fetch of $book_text $book_text=html_entity_decode($book_text); Таким образом, весь текст отформатирован […]
Я только начал использовать Php Data Objects, и одна вещь, о которой я не уверен, – это проверить, что какая-то переменная является целым числом, прежде чем использовать ее в запросе. Например, например: $id = (int)$_POST['id']; // is this required $query = $pdo->prepare("SELECT * FROM `articles` WHERE `id` = ?"); $query->bindValue(1, $id); $query->execute();
Я должен ввести форму входа для упражнения по курсу компьютерной безопасности … Я прошел первый уровень, используя простой ' like 1=1– в поле пароля, но теперь на втором уровне мне нужно снова ввести ту же форму входа с тем же исходным кодом, за исключением того, что пользователь и pwd управляются функцией lvl2_filter (), которая, по […]
Я хочу проверить мои данные от пользователя для XSS и SQL-инъекций, и вот как я пытался if (isset($_GET['membernumber'])) { $mem = htmlentities($_GET['membernumber']); $memberparamter = cleanData($mem); } Но какой метод является лучшим / правильным способом проверки? Способ 1 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); $data=stripcslashes($data); $data=htmlspecialchars($data); $data=strip_tags($data); return $data; } Способ 2 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); […]
У меня есть таблица с столбцами GroupID | GroupName | GroupDesc | Overs | —————————————– 1 | Test Group|Description| Yes | У меня есть страница под названием list.php, и в настоящее время она создает URL для каждой строки в БД в таблице групп (см. Выше). Код не самый красивый, но я думаю, что он работает, […]
Sql Injection возможен, если параметры передаются через GET. Но возможно ли это также через POST. Если да, может ли https предотвратить это?
Устанавливает ли ADOdb санацию данных или экранирование в рамках одной и той же функциональности по умолчанию? Или я просто путаю его с встроенными процессами Code Igniter? Связаны ли переменные привязки с параметрами в ADOdb для PHP, чтобы предотвратить SQL-инъекцию каким-либо образом?
Я слышал, что sprintf () снова защищает SQL-инъекцию. это правда? если да, то как он снова защищает sql-инъекцию? почему люди рекомендуют писать запрос следующим образом: $sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);