sql-injection

Fragen
SQL Injection ist eine Code-Injection-Methode, die zum Angriff auf datengesteuerte Anwendungen verwendet wird, in der schädliche SQL-Anweisungen zur Ausführung in ein Eingabefeld eingefügt werden (z. B. um den Inhalt der Datenbank an den Angreifer auszugeben).
1
Antwort

Zend Db Vermeidung von SQL-Injektionen

Ich habe den folgenden Code: %Vor% E-Mail und Passwort kommen direkt vom Benutzer. Muss ich E-Mails beispielsweise mit mysql_real_escape_string filtern oder macht Zend DB das für mich? Danke!     
09.12.2009, 19:01
2
Antworten

SQL-Injection funktioniert nicht korrekt

Ich versuche eine SQL-Injektion auf einer Dummy-Website durchzuführen, die auf meinem lokalen Host für ein Sicherheitstestprojekt erstellt wurde. Ich habe versucht, die Zeichenfolge " OR "=' in das Feld Benutzername und Passwort einzugeben...
06.01.2013, 14:01
4
Antworten

SQL Injection Protection - Von String auf int

Wir alle wissen, dass parametrisiertes SQL der Weg ist, wenn es um Benutzereingaben und dynamisches SQL geht, aber von String zu int (oder doppelt oder lang oder was auch immer) als effektiv gilt, wenn die gesuchte Eingabe numerisch ist ? Ich...
08.09.2009, 14:53
2
Antworten

Muss ich die Benutzereingabe Laravel bereinigen?

Ich benutze Laravel 4 mit Eloquent. Wenn ich die Benutzereingabe bekomme, benutze ich einfach $name=Input::get('name') und dann mache ich $a->name=$name; Ich weiß nicht, ob die Funktion Input::get mich vor SQL Injection und XSS sc...
05.10.2014, 12:44
5
Antworten

Warum sollte mysql_real_escape_string () SQL Injection nicht vermeiden?

Ich habe Leute sagen hören (in Bezug auf C # / SQL Server, sondern auch in Bezug auf PHP / MySql): Strings nicht manuell entkommen - verwenden Sie stattdessen gespeicherte Prozeduren . Ok, ich kann diesen Vorschlag akzeptieren, aber warum? V...
19.12.2011, 11:48
3
Antworten

Können Sie diese SQL-Injektion erklären?

Die Webseite, an der ich gearbeitet habe, wurde vor kurzem von dem folgenden SQL-Injektionsskript gehackt %Vor% Diese Injektion gab den MySQL-Tabellennamen zurück. Dies wurde von dem Fehlermeldesystem auf dieser Website gemeldet und wir habe...
10.08.2010, 03:57
1
Antwort

Angezeigte Fehlermeldung bei Ausnahme: Ein potenziell gefährlicher Request.Form-Wert wurde vom Client erkannt

Ich verwende Login Control von ASP.NET in meiner Webanwendung. Ich möchte eine seltsame Art von Fehler auf einem Etikett anzeigen, wenn diese Ausnahme auftritt System.Web.HttpRequestValidationException: A potentially dangerous Request.Form valu...
31.05.2012, 16:33
3
Antworten

Warum gibt SELECT 'a' = 'b' = 'c' 1 in MYSQL zurück?

Ich machte einige Hausaufgaben für meine Sicherheitsklasse mit SQL-Injektionen. Ich fand, dass ich eine kürzere SQL-Injektion als das typische ' OR '1'=1 Beispiel machen könnte. Stattdessen könnte ich '=' machen. Wenn Sie dies in das Passw...
06.10.2013, 22:23
2
Antworten

Gültige E-Mail-Adressen - XSS und SQL Injection

Da es so viele gültige Zeichen für E-Mail-Adressen gibt, gibt es gültige E-Mail-Adressen, die XSS-Angriffe oder SQL-Injektionen sein können? Ich konnte keine Informationen dazu im Internet finden.    Der lokale Teil der E-Mail-Adresse   kan...
27.05.2010, 18:01
2
Antworten

Wie kann ich "EXEC @sql" ausnutzen?

Mein Kollege ist mit seinem Code unsicher und erlaubt einem Benutzer, eine SQL-Datei hochzuladen, die auf dem Server ausgeführt werden soll. Er löscht alle Schlüsselwörter in der Datei wie "EXEC", "DROP", "UPDATE", "INSERT", "TRUNC" Ich mö...
16.09.2010, 22:07