sql-injection
скажем, у меня есть такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); в документации PDO говорится: параметры для подготовленных операторов не нужно заключать в кавычки...
Я пытаюсь поставить некоторые анти sql инъекции на место в java и нахожу его очень трудно работать с функцией строки "replaceAll". В конечном счете мне нужна функция, которая преобразует любые существующие до , ни " до ", либо ' до ' и ни n до n так что, когда строка оценивается MySQL SQL инъекции будут забл...
How do подготовленные заявления профилактика SQL-инъекций атаки? в Википедии написано: подготовленные операторы устойчивы к SQL-инъекции, потому что значения параметров, которые передаются позже с помощью другого протокол, не нужно правильно экранировать. Если первоначальное заявление шаблон не явл...
у нас есть еще одно обсуждение здесь на работе об использовании параметризованных sql-запросов в нашем коде. У нас есть две стороны в обсуждении: я и некоторые другие, которые говорят, что мы всегда должны использовать параметры для защиты от SQL-инъекций, а другие ребята, которые не считают это необходимым. ...
Я понимаю, что вы никогда не должны доверять вводу пользователя из формы, в основном из-за возможности инъекции SQL. однако, это также относится к форме, где единственный вход из выпадающего списка(ов) (см. ниже)? Я спасаю $_POST['size'] к сеансу, который затем используется на всем сайте для запроса различ...
у меня есть проблема с PDO, что я действительно хотел бы получить ответ на после того, как его мучают в течение довольно долгого времени. рассмотрим пример: я привязываю массив идентификаторов к оператору PDO для использования в операторе MySQL IN. массив будет сказать: $ values = array (1,2,3,4,5,6,7,8);...
можно ли предотвратить SQL-инъекции в узле.js (желательно с модулем) точно так же, как PHP подготовил операторы, которые защищали от них. если да, то как? Если нет, то какие примеры это может обойти код, который я предоставил (см. ниже). Контекст: Я делаю веб-приложение с внутренним стеком, состоящим из у...
для создания общий образовательный ресурс. Цель состоит в том, чтобы иметь примеры хорошего кода, которые не повторяют ужасные ошибки, которые так часто можно найти в копируемом/вставленном PHP-коде. Я попросил его сделать сообщество Wiki. это не означает, как конкурс кодирования. речь идет не о том,...
Я просто унаследовал проект, потому что последний разработчик ушел. Проект построен от воспламенителя кода. Я никогда раньше не работал с воспламенителем кода. я быстро взглянул на код, и я вижу вызовы базы данных в контроллере следующим образом: $dbResult = $this->db->query("SELECT * FROM users WH...
у меня есть много пользовательских входов от $_GET и $_POST... На данный момент я всегда пишу mysql_real_escape_string($_GET['var']).. я хотел бы знать, можете ли вы сделать функцию, которая защищает, убегает и очищает $_GET/$_POST массивы сразу, так что вам не придется иметь дело с ним каждый раз, когда вы ...