sql-injection 相关问题

SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序,其中将恶意SQL语句插入到输入字段中以便执行(例如,将数据库内容转储给攻击者)

如果使用FILTER_SANITIZE_FULL_SPECIAL_CHARS是否需要使用htmlspecialchars?

在 PHP 应用程序中,我们使用 FILTER_SANITIZE_FULL_SPECIAL_CHARS 和 FILTER_FLAG_NO_ENCODE_QUOTES 在存储到数据库之前处理用户输入数据。目的是消毒所有用户

php security sql-injection sanitization
回答 1 投票 0

故意进行的 SQL 注入有名称吗?

我需要连接字符串来生成要执行的查询,主要是因为参数不能在我需要的地方使用。 例如,DB2 中的 FETCH NEXT ROWS 子句不接受 ...

sql database sql-injection
回答 1 投票 0

使用参数__ID__可以进行SQL注入

我正在使用 ZAP 对 Nextjs 14 Web 应用程序执行扫描,但遇到了以下安全问题: 场地 细节 风险等级 高的 漏洞 SQL注入-SQLite 描述 SQL注入...

next.js sql-injection owasp zap
回答 1 投票 0

在函数中从动态表中选择而不使用EXECUTE

我们可以在 PostgreSQL 函数内部进行选择而不使用 EXECUTE 吗? 我正在尝试使用 quote_ident() 创建动态 SQL,但它不起作用。 创建或替换函数 select_server(p_id text) 重新...

function postgresql sql-injection plpgsql dynamic-sql
回答 2 投票 0

Python中的Sql注入

如何通过 MySQL 防止 Python 中的 SQL 注入? 如何通过 mysql.connector 正确使用参数化查询。 防止 Python 应用程序中 SQL 注入的最佳实践。 任何额外的...

python mysql sql-injection
回答 1 投票 0

MySQLSyntaxErrorException:“字段列表”中存在未知列“arpit”

这个 JDBC 程序有什么错误: 封装jdbc; 导入 java.sql.*; 导入java.util.Scanner; 公共类表{ 公共静态无效主(字符串[] args){ 字符串名称; ...

java mysql jdbc prepared-statement sql-injection
回答 1 投票 0

PHP PDO 的prepared语句如何防止sql注入?使用 PDO 还有哪些其他好处?使用PDO会降低效率吗?

我发现了“PHP PDO 的预准备语句可防止 SQL 注入”这句话。 php PDO(PDO 的准备语句)如何防止 sql 注入? 还有什么其他优点/缺点...

php pdo sql-injection
回答 3 投票 0

我想在@databricks/sql node.js中使用参数化查询

查询 =“从 id=”sj” 的存储库中选择 * 参数化 = “从 id = 的存储库中选择 *” 结果 - 执行语句(参数化,“sj”) 我想传递参数...

sql node.js parameters sql-injection databricks-sql
回答 1 投票 0

与 Veracode 将 tableName 变量标记为“SQL 注入”缺陷作斗争

我们有一个命令行实用程序,可以将指定的文件(CSV)加载到指定的表中。 显然,表名将由外部提供(在命令行上),并且 Veracode 标记...

java jdbc sql-injection veracode
回答 1 投票 0

用于查询 s3 存储桶的参数化 SQL 查询

我在 s3 存储桶中有一个 CSV 文件,我正在使用 boto3 库访问它。我正在使用 select_object_content 函数用 SQL 语言查询文件。 这是我的代码: 分别 = self.s3_cli...

python amazon-s3 boto3 sql-injection
回答 2 投票 0

需要 SQL 注入扫描器来扫描 python 中的子域

我想要一个Python脚本,它可以搜索域以及子域的sql注入漏洞。我确实有用于搜索网页中任何漏洞的域脚本,但是...

python security subdomain sql-injection
回答 1 投票 0

在没有 setString() 或 setInt() 方法的情况下,是否可以在 JavaPreparedStatement 中进行 SQL 注入? [重复]

在Java中,如果用户输入直接附加到SQL查询中,而不使用setString()或setInt()等方法,但查询是使用PreparedStatement执行的,是否仍然被认为是SQL注入...

java security sql-injection secure-coding
回答 3 投票 0

在没有setString()或setInt()方法的情况下,是否可以在Java的PreparedStatement中进行SQL注入?

在Java中,如果用户输入直接附加到SQL查询中,而不使用setString()或setInt()等方法,但查询是使用PreparedStatement执行的,是否仍然被认为是SQL注入...

java security sql-injection secure-coding
回答 1 投票 0

格式化 SELECT 查询,避免采用多个参数的 SQL 注入

我正在使用Python 3和sqlalchemy动态创建一个查询,该查询选择满足条件的所有产品并避免sql注入问题。 我收到以下错误。列出参数...

python-3.x sqlalchemy sql-injection
回答 1 投票 0

从用户输入中删除所有引号注入安全吗?

$id = $_GET['id']; $id = str_replace("'", "", $id); $sql = "从测试中选择名称,其中 id='$id'"; $stmt = $conn->查询($sql); 如上面的 php 代码片段所示,它删除了

php sql security sql-injection
回答 1 投票 0

Burp Repeater 请求给客户端错误:Forbidden in python requests (portswigger labs)

我正在做portswigger盲sqli实验室:https://portswigger.net/web-security/sql-injection/blind/lab-conditional-responses 在拦截请求后的burp转发器中,它工作正常,因为

http python-requests sql-injection burp
回答 1 投票 0

发现MySql的弱转义函数,如何利用?

在我正在开发的一个应用程序中,我发现了一个弱转义函数来防止注入。我试图证明这一点,但我很难想出一个简单的例子。 转义功能有效...

php sql mysql security sql-injection
回答 7 投票 0

如何用Java(或任何其他语言)模拟SQL注入指南

我有一个jsp代码,其中有一个查询,例如 '从 MyTable 中选择*,其中 Column1='+request.getParameter('q'), 这是从一个执行的 java.sql.语句。现在,假设我们可以通过

java sql prepared-statement sql-injection
回答 3 投票 0

SQL注入是否可以发生在登录页面以外的任何其他地方

Web 应用程序除了登录页面之外的其他地方是否可能存在 SQL 注入漏洞,我们有一个来自记录器的查询,该查询可能是 sql 注入,但它不是在登录时...

security web-applications sql-injection
回答 2 投票 0

SQLMap 与响应中的字符串不匹配

我使用 SQLMap 在登录表单上测试 SQL 注入,当服务器验证凭据时,它返回 HTTP 200 状态代码并在响应正文中:{“code”:1}(在有效凭据上...

sql sql-injection penetration-testing sqlmap penetration-tools
回答 1 投票 0
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.