Articles of sql injection

Inyección SQL y protección XSS en PHP combinando Ignitor de código xss_clean () y Zend PDO

Estoy buscando una función que asegure todas las consultas DB de la MAYORÍA de las amenazas y ataques comunes. es como combinar las clases de CI y Zend con poner código personalizado para tener una función de seguridad totalmente personalizada.

¿Es posible una inyección de SQL agregando una segunda consulta?

Hay muchas advertencias sobre las inyecciones de SQL aquí en SO, pero nadie que he encontrado realmente no responde, ¿cómo sucede? En esta pregunta, supongo que es MySQL y PHP. El mysql_ básico no acepta una segunda consulta dentro de una consulta, ¿verdad? Entonces, básicamente, esto $unsafe = “‘);DROP TABLE table;–“; mysqli_query($con,”INSERT INTO table (Column) […]

¿Es segura esta consulta de selección dinámica (columna y tabla) de PHP?

Los nombres de Tablas y Columnas no pueden vincularse usando PDO -> bindParam (), pero estoy seguro de que a más de uno le gustaría poder hacerlo. Es un poco tarde, pero escribí esto antes y hasta ahora funciona. Soy un poco nuevo en php y me gustaría saber qué piensas y si es seguro. […]

Inyección SQL | Cambiar los valores de identificación

Estoy atascado con un problema de inyección sql. Mi página muestra los datos de la tabla de la siguiente manera: <input type="checkbox" name="id[]" value="” /> ¿Cómo puedo estar seguro de que el valor enviado es la identificación de esta fila específica y no un número aleatorio “inyectado” en la página? Obviamente, comenzaría a verificar que […]

¿Mi función de escape es realmente segura?

Posible duplicado: La mejor forma de detener la inyección de SQL en PHP La mejor función de limpieza / seguridad Mi sitio web fue atacado mediante inyección sql y ahora necesito mejorarlo. Estoy creando una función en PHP escape() , que devuelve la versión de escape de una cadena. No soy un pirata informático, así […]

Retardo de Inyección SQL con MySQL, ¿cuáles son los requisitos básicos?

En proyecto actual usando MySQL. Al examinar las funciones de mysqli , descubrieron que son muy difíciles de usar. En mi opinión, cualquier progtwigdor que use la biblioteca debería tener una Medalla de Honor. Tres problemas: mysqli no maneja NULL o funciones como CURRENT_DATE es imposible usar declaraciones SQL paramétricas para consultas con cláusulas WHERE […]

¿Este código sql-injection-safe está en PDO?

código (novato): if(isset($_POST[‘selection’])) { include_once ‘pdo_init.php’; $params_str = str_repeat(‘?,’,count($_POST[‘selection’])); $params_str = substr($params_str,0,-1); $res = $pdo->prepare(‘DELETE FROM funcionario WHERE codigo in (‘.$params_str.’)’); if($res->execute($_POST[‘selection’])) { return json_encode(array( ‘success’ => 1, ‘msg’ => ‘os registros foram deletados com sucesso!’ )); } else { return json_encode(array( ‘success’ => 0, ‘msg’ => ‘nao admitimos sql-injection aqui seu safado!’ )); } […]

Evitar la inyección de SQL en SQLite3

Intento encontrar una forma fácil y sencilla de evitar la inyección de SQL y, hasta ahora, solo he podido encontrar dos ideas: Base64 codifica la entrada del usuario (Realmente no quiero hacer esto) Use expresiones regulares para eliminar los caracteres no deseados. (Actualmente usando esto, no estoy seguro de si es 100% seguro) Aquí está […]

Función PHP para desinfectar todos los datos

¿Es una buena o estúpida idea desinfectar todos los datos que podrían ser analizados? Escribí una función que debería hacerlo, pero nunca lo había visto y me preguntaba si era una mala idea. La función que escribí: function sanitizeData() { $_SERVER[‘HTTP_USER_AGENT’] = mysql_real_escape_string($_SERVER[‘HTTP_USER_AGENT’]); foreach(array_keys($_COOKIE) as $key) { $_COOKIE[$key] = mysql_real_escape_string($_COOKIE[$key]); } foreach(array_keys($_POST) as $key) { […]

¿Por qué mi consulta con parámetros nombrados devuelve un resultado en blanco?

Estoy convirtiendo mi código MySQL en PDO para aprovechar las declaraciones preparadas. Originalmente recibí un error fatal como se describe en esta pregunta . Había resuelto ese problema, pero trajo más problemas al intentar agregar parámetros. El código que trato de poner en práctica es: include (“foo/bar.php”); try { $DBH = new PDO(“mysql:host=$hostname;dbname=$database”, $username, $password); […]