A injeção de SQL é uma técnica de injeção de código, usada para atacar aplicativos baseados em dados, em que instruções SQL maliciosas são inseridas em um campo de entrada para execução (por exemplo, para despejar o conteúdo do banco de dados para o invasor).
As respostas desta pergunta são um esforço da comunidade . Edite as respostas existentes para melhorar esta postagem. No momento, não está aceitando novas respostas ou interações. Como fazer a instalação de um Stack Overflow no Stack Overflow em Português :...
Existe uma função catchall em algum lugar que funcione bem para higienizar a entrada do usuário para injeção de SQL e ataques XSS, enquanto ainda permite certos tipos de tags
Apenas olhando para: (Fonte: https://xkcd.com/327/ ) O que esse SQL faz: Robert'); DROP TABLE STUDENTS; -- Conheço os dois 'e faço --comentários, mas a palavra DROPtambém não é comentada, pois faz parte da mesma
Digamos que eu tenha um código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); A documentação da DOP diz: Os parâmetros para instruções preparadas não...
Existe uma possibilidade de injeção de SQL, mesmo ao usar a mysql_real_escape_string()função? Considere esta situação de exemplo. SQL é construído em PHP assim: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT...
Como as instruções preparadas nos ajudam a impedir ataques de injeção de SQL ? A Wikipedia diz: As instruções preparadas são resilientes à injeção de SQL, porque os valores dos parâmetros, que são transmitidos posteriormente usando um protocolo diferente, não precisam ser escapados...
Estou tentando colocar alguma injeção anti-sql no java e estou com muita dificuldade em trabalhar com a função de cadeia "replaceAll". Por fim, preciso de uma função que converta qualquer existente \para \\, qualquer "para \", qualquer 'para \'e qualquer \npara, \\npara que quando a string for...
Percebo que as consultas SQL parametrizadas são a maneira ideal de higienizar a entrada do usuário ao criar consultas que contenham entrada do usuário, mas estou me perguntando o que há de errado em receber entradas do usuário e escapar de aspas simples e cercar toda a cadeia de caracteres com...
Eu sei que o PreparedStatements evita / impede a injeção de SQL. Como isso acontece? A consulta final do formulário criada usando PreparedStatements será uma sequência ou
Hoje cedo, uma pergunta foi feita sobre estratégias de validação de entrada em aplicativos da web . A principal resposta, no momento da redação, sugere PHPapenas o uso de htmlspecialcharse mysql_real_escape_string. Minha pergunta é: isso é sempre suficiente? Há mais coisas que devemos saber? Onde...
Eu sou muito novo no trabalho com bancos de dados. Agora eu posso escrever SELECT, UPDATE, DELETE, e INSERTcomandos. Mas eu vi muitos fóruns onde preferimos escrever: SELECT empSalary from employee where salary = @salary ...ao invés de: SELECT empSalary from employee where salary =...
Em termos de injeção de SQL , eu entendo perfeitamente a necessidade de parametrizar um stringparâmetro; esse é um dos truques mais antigos do livro. Mas quando pode ser justificado não parametrizar um SqlCommand? Algum tipo de dado é considerado "seguro" para não parametrizar? Por exemplo: Eu não...
Estamos tendo outra discussão aqui no trabalho sobre o uso de consultas sql parametrizadas em nosso código. Temos dois lados na discussão: eu e alguns outros que dizem que devemos sempre usar parâmetros para proteção contra injeções de sql e os outros caras que acham que não é necessário. Em vez...
Eu entendo que você NUNCA deve confiar na entrada do usuário de um formulário, principalmente devido à chance de injeção de SQL. No entanto, isso também se aplica a um formulário em que a única entrada é proveniente de uma (s) lista (s) suspensa (s) (veja abaixo)? Estou salvando o $_POST['size']...
É possível evitar injeções de SQL em Node.js (de preferência com um módulo) da mesma forma que o PHP preparou instruções que protegem contra eles. Se sim, como? Se não, quais são alguns exemplos que podem ignorar o código que forneci (veja abaixo). Algum Contexto: Estou fazendo um...
Tenho pregado para meus colegas e aqui no SO sobre a vantagem de usar parâmetros em consultas SQL, especialmente em aplicativos .NET. Cheguei até a prometer que eles forneceriam imunidade contra ataques de injeção de SQL. Mas estou começando a me perguntar se isso realmente é verdade. Há algum...