我有一些正则表达式,它看起来像这样:
string regexForDrop = @"^((%27)|'|(\-\-))\s*(d|%64|%44)(r|%72|%52)(o|%6F|%4F)(p|%70|%50)$";
它工作正常,当我写入输入" - drop",但它不起作用,当我写"drop table users"或类似的东西.无论" - drop"之后出现什么,我都需要它能够工作.我该如何实现呢?
谢谢
UPDATE `company` SET `itnumber` = '595959' WHERE (id = 932)
因此,itnumber的价值来自该公司的用户输入.我想确保我能够阻止任何类型的SQL注入.所以用户输入595959并在动态查询中将该值构建为"595959".是否仍然可以在此查询中进行SQL注入攻击?我知道使用prepare语句来防止sql注入,但是prepare语句可能需要为我的应用程序进行大量的开发工作,所以我正在寻找更少的时间和更简单的方法来修复我可以注入的大多数sql语句.
StringBuffer sb = new StringBuffer();
sb.append(" UPDATE ");
sb.append(DB.quote(table));
sb.append(" SET ");
/* logic if column value has changed */
/* if yes */
sb.append(DB.quote(column.name));
sb.append(" = ");
sb.append(column.getSQLvalue());
sb.append(" WHERE (id = ");
sb.append(columns[0].getSQLvalue());
sb.append(")");
execute(sb.toString());
我阅读了很多关于过滤数据的信息,我的网站从用户处获取数据,以便在sql injenction和xss中使网站安全...但我在php中看到很多功能,所以我无法决定做什么...请帮我把它变得更安全
可能重复:
在PHP中停止SQL注入的最佳方法
最近,我通过黑客DROP table通过注册表单插入命令来清除我的数据库.
这让我恼火,让我想到:
在将信息发送到数据库之前,如何在php中阻止mysql注入,例如,有没有办法检测用户是否正在尝试将错误代码注入可以擦除它的数据库中,如果是,则检测并显示一个错误?
另外,有没有办法在添加后检测mysql注入,所以当我显示查询时,如果它是删除注入代码,则不显示它.
再次感谢,我为任何华夫饼道歉.
我有这样的查询:
"SELECT * FROM MyTable_" + myID + " WHERE variable = @variable";
SQL参数化适用于变量,但如何让它与表名一起使用?myID是我传入并更改的int(可以转换为字符串),但是如何防止sql注入?
是否针对特殊字符验证URL是否会阻止sql注入?像这样的Somehing:
validateRequest(req.getUri());
我在其中验证特殊字符.
在课堂上,我们现在正在学习SQL注入攻击,我的教授向我们展示了一些示例,我们只使用用户名输入进行攻击,或者使用用户名和密码.
我开始更多地阅读有关SQL注入的内容,并发现您可以通过在用户名输入中键入"admin"或"xx"来创建攻击,然后主要使用密码输入进行攻击.
我的问题是,是否可以仅使用密码输入执行SQL注入攻击并在用户名输入中不输入任何内容?
编辑:此问题是在通过网站登录页面的密码框对数据库使用SQL注入攻击的上下文中.
我读过几篇关于sql注入预防的文章.他们中的大多数建议使用预准备语句来防止sql注入和白名单只是一个额外的解决方案.我无法得到他们的观点.
恕我直言,白名单用户输入要好得多,因为它还可以防止XSS攻击.没有字符限制时,白名单是不可能的.这种情况很少发生.
让我们在nodejs中考虑这个例子.
DB.query("UPDATE user SET username=?",username,cb);
//assume that username is alphabetic
if(!/^[a-z]+$/.test(username)){
throw new Error('Invalid user name');
}
DB.query("UPDATE user SET username='"+username+"'",cb);
你们有什么感想?白名单或准备好的陈述?为什么不建议在准备好的语句上将用户输入列入白名单?
我的代码看起来像:
$id = (int) $_REQUEST['edit_id'];
$result = mysql_query("SELECT * FROM dis WHERE dis_id = $id ");
任何人都可以像我(int)用来过滤原始数据一样在这段代码中进行SQL注入吗?如果是这样,它怎么能被黑客入侵,怎么能防止黑客入侵呢?
我正在研究由漏洞扫描程序之一标记的几个SQL注入错误,并且正在研究应用程序中的其他一些实现,其中参数化查询用于数据库交互。
我在探查器中观察到,所有参数化查询实际上都在调用sp_executesql过程。
1)具有任何库的所有参数化查询实现实际上只是在调用此存储过程吗?
2)如果否,那么最后将参数化查询转换为普通字符串查询并执行吗?
sql-injection ×10
sql ×5
c# ×4
php ×4
java ×2
.net ×1
database ×1
mysql ×1
regex ×1
security ×1
sql-server ×1
sqlparameter ×1
winforms ×1
xss ×1