我只是在阅读关于mysql注入的文章,我想确认一下,如果你强制用户使用列表选项来输入mysql (这些输入被设置为只读),那么系统本质上是不会受到mysql注入的影响的?是否需要采取措施来保护以这种方式开发的站点的恶意mysql注入尝试?
浏览 0提问于2016-03-26得票数 0
可能重复: 最好的免费漏洞扫描器检查您的网站PHP &MySQL代码?
我正在寻找一个免费的漏洞扫描器来检查我的网站是否有常见的漏洞等等。有人能列出最好的免费漏洞扫描器吗?
浏览 0提问于2010-12-18得票数 0
2回答
我是一个PHP初学者,我刚刚开始创建自己的网站。我遇到了一个问题,mail()无缘无故地返回FALSE。
我的想法是实现一个密码重置机制。当用户输入其电子邮件时,HTML表单将把信息传递给php脚本,php脚本将执行验证,并通过随机生成的密码重置密码,然后将此临时密码发送到用户的电子邮件。下面是我的代码:
<?php
session_start();
$email = $_POST['email'];
function random_string_generator ($character_options, $length_of_generate
浏览 1提问于2012-06-08得票数 1
当使用下面的查询时,我得到错误:列' time‘不能为null,它在第一次没有重复时工作正常,但是当再次尝试更新时,我得到错误:列'Time’不能为null
mysql_query("
INSERT INTO
$table(Username, Time, Videos, Credits)
VALUES
('$user', '$time', '$videos', '$credits')
ON DUPLICATE KEY UPDATE
Time=Time+
浏览 1提问于2011-08-19得票数 0
回答已采纳
我有两个下拉列表,其中第二个取决于第一个下拉列表选择。
我已经测试了getSalary和getamount,它可以获取数组,但不能加载到try.php。
有什么会出错的?这是我的密码。
try.php:
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Untitled Document</
浏览 3提问于2015-07-24得票数 0
回答已采纳
3回答
我已经正确地遵循了所有的mySQL教程,但它仍然不能更新我的表中的值,有人能帮我吗?,下面是我的值:
$editid = $_GET['id'];
$newtitle = $_POST['title'];
$newsneak = $_POST['sneak'];
$newbody = $_POST['body'];
$connect = mysql_connect("localhost","username","password") or die("Couldn't
浏览 4提问于2011-03-11得票数 0
2回答
在本例中,是否可以使用SQL注入更新MySQL数据库中的字段或插入新行:
PHP代码中唯一的保护是mysql_real_escape_string()。
查询是用双引号构造的:"select id from db where id = $id"而不是单字串文字引号。
数据库是mysql (使用mysql_query php调用),所以我认为堆叠查询是不可能的(如果我错了,请纠正我)。
使用mysql而不是mysqli。
我试过使用像1; update users set first_name = foo这样没有运气的东西,并尝试以十六进制和八进制格式传递逗号、'和八进制
浏览 0提问于2014-11-11得票数 5
回答已采纳
我在这里发现了同样的问题,但它无助于提问,也无助于我。所以三年后我再试一次:)
我用MySQL数据库制作了一个Spring应用程序。所有的CRUD操作都很好,由邮递员进行测试。当我添加Persistance.autoconfiguration.java时,它使用户'XXX'@'localhost' (使用密码: NO)的SQLException: Access被拒绝。用户XXX是我的Windows用户配置文件。
Persistence.configuration.java放在配置包中,放置在conferencedemo2中,其中有控制器、存储库等包。
packa
浏览 9提问于2022-07-16得票数 0
对于我的项目,我需要从命令行以非交互模式编写jmeter测试计划,并将结果保存到文件中,然后将其导出到mysql数据库中。
你知道该怎么做吗?
浏览 2提问于2012-10-22得票数 1
回答已采纳
有没有一个静态分析工具来识别php/mysql的sql注入?
在php脚本上运行的工具将分析sql语句,并查找sql语句是否存在任何可能的sql注入可能性。
浏览 2提问于2011-05-20得票数 2
2回答
关于hmac函数的提示,用于登录
、、、、
大家好,我正在为我的数据库建立一个新的登录系统,它有望比我的旧md5密码加密页面更安全。我只是想知道我是否可以得到一些关于我将用于它的代码的提示……主要是如果我可以或应该做任何事情来提高这部分的安全性…非常感谢。
$sql="SELECT * FROM `users` WHERE username='$user'";
$result=mysql_query($sql);
while($rows=mysql_fetch_array($result)){
$salt=$rows['salt'];
$site_key=$rows['site
浏览 0提问于2012-08-28得票数 0
1回答
我刚刚开始为我的项目编写测试用例,我对此很陌生。这是一个Maven restful网络项目-泽西框架。我使用MySql数据库。我想为与DB(JDBC)交互的方法编写测试用例。我想知道从哪里可以学到这些东西的参考资料。我想使用JDBC而不是HSQL编写测试用例。如果有人能告诉我去哪找。这会很有帮助的..。提前谢谢。
浏览 4提问于2015-08-25得票数 1
回答已采纳
什么时候应该使用mysql_real_escape_string?
是否只有在向数据库中插入行时才会出现这种情况?或者仅当我有用户输入时?
谢谢
浏览 4提问于2011-03-12得票数 4
回答已采纳
我的任务是制作一个易受攻击的php应用程序,这是我的登录页面代码。问题是我不能让它变得脆弱。当我尝试使用登录字段进行SQL注入时,什么也没有发生。
如何使其易受SQLi攻击、or '1'='1'或类似攻击?
checklogin.php
require "config.php";
$tbl_name="members";
mysql_connect("$servername", "$dbusername", "$dbpassword")or die("Spajanje b
浏览 0提问于2013-07-17得票数 1
我习惯于在PHP/MySQL中进行开发,没有开发SQL Server的经验。我已经浏览过文档,在我所读到的一些方法中,它看起来类似于MySQLi。
例如,对于MySQL,我使用函数。PHP/ Server是否有类似的功能?
为了防止SQL注入使用Server,我需要采取哪些步骤?
Server与MySQL之间关于SQL预防的区别是什么?
还有- 的帖子准确吗?Server的转义字符串字符是单引号吗?
浏览 18提问于2010-04-09得票数 13
回答已采纳
5回答
有没有办法找到SQL注入漏洞?
注意:我正在询问如何在您控制的服务器上找到它们,以便您可以修复它们。我不是在问如何在别人的服务器上检测它们来利用它们。
有没有一种方法可以在不打开每个页面并执行ctrl+f的情况下找到所有出现的mysql_query()
浏览 1提问于2010-09-03得票数 6
回答已采纳
你好,我昨天在这里遇到这个问题,我真的不知道如何很好地使用这个网站,因为我是新的,所以我重新发布。但是我在这段代码中遇到了一个错误,我认为它是包含语法错误的Update查询。
//更新播放器记录是否已经存在
$result = mysql_query("UPDATE PlayerStat SET Position='$POS', Number='$NUM', Name='$PlyrName', Status='$Status', TDS='$TDS', INT='$INT', YDS
浏览 1提问于2011-11-30得票数 0
我将一些简单的用户数据传递到mysql数据库中。
PHP的urlencode()返回一个字符串,其中除-_之外的所有非字母数字字符。已替换为百分号(%),后跟两个十六进制数字。
我不担心空格变成加号,或者其他格式问题。我也不担心XSS和其他HTML黑客攻击。
我相信我应该不会受到‘和)风格的攻击。
问:是否有其他类型的sql攻击可以与-或_或一起使用。?
示例:
mysql_query("UPDATE cars SET color = '".urlencode($c)."' WHERE garage = 29");
提前谢谢你
浏览 0提问于2011-02-15得票数 6
1回答
我目前正在研究SQL注入,并试图从测试数据库中“窃取”值。当用户尝试登录网站(常规文章公式,PHP)时,会查询数据库,使用典型指南中可以找到的“常用”UNION内容很容易绕过登录。
现在我的问题是,有什么方法可以让MySQL向我提供注册用户的原始数据,而不是让我绕过登录?到目前为止,我找到的是"ExtractValue“函数,我可以给出一个新的SQL查询作为参数,然后将结果打印到网站上。还有更多或更好的吗?
浏览 1提问于2017-05-20得票数 0
2回答
我想阻止1=1使用mysql_real_escape_string,但不确定这样做是否正确,因为我仍然可以执行1=1。以下是我的代码:
$memberId = mysql_real_escape_string($_GET["memberId"]);
$sql = "SELECT firstName, lastName, dateSent, message, messageId FROM member, message WHERE member.memberId = message.sentFromId AND message.inboxId=" . $membe
浏览 0提问于2011-11-26得票数 2
回答已采纳
3回答
我正在开发一个web应用程序。我曾经用过Joomla这样的东西来做一些很棒的东西,但现在我终于用上了PHP、MySQL和CodeIgniter。
当你制作一个严肃的web应用程序来处理大量数据时,我应该对我的数据输入采取什么预防措施来完全清理它?我知道有明显的修剪,转义,xss清理等-但是我应该结合哪些其他技术来阻止注入到数据库中?
不仅如此,有没有什么非破坏性的数据库注入代码可以用来测试我的所有输入?也就是说,它将注入一些可见的东西,但实际上不会对我的测试数据库造成任何损害?我不是一个完全的黑客,在这方面需要一点指导。
黑客还使用什么其他常见的方法来销毁或读取用户数据,我如何自己检查?我没有
浏览 0提问于2010-02-28得票数 25
回答已采纳
1回答
目前,我使用这个函数作为我的网站的对策,只是想知道它是否可以有效地阻止SQL注入。自从我用Accunetix,ZAP和NetSparker测试我的网站后,只有ZAP说我的网站容易受到type = 'ZAP'或'1=1'的攻击。
我应该担心吗?
function anti_injection($sql){
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$s
浏览 0提问于2015-04-16得票数 0
2回答
我正在为网站建立一个基于php的测验。我是个初学者。我编码从数据库中获取问题和选项,并将它们显示在我的page.when中的表单中,用户选择我想要的答案插入到我的数据库中的选项。我写了一些基本代码,但它不工作,请帮助。这是我的代码问题表有7行(qid,问题,optiona,optionb,optionc,optiond,answeroption),回答表有simple2rows(qid,answer)
if(isset($_POST['next']))
{
$a=$_POST['a'];
}
if(!isset($a))
{
$a=0;
浏览 0提问于2013-02-23得票数 2
我的想法是搜索查询,然后单击图像按钮,它将重定向到查询到excel代码。
这是我的图像按钮代码
$expQuery = SELECT * FROM reginformation WHERE name LIKE '%da%' AND deleted = 0; //This is an example query
<a id="exportbutton" style="margin-left:5px;" href="regListToExcel.php?query=<?php echo $expQuery ?> "
浏览 1提问于2015-08-17得票数 0
1回答
我理解使用PDO使SQL注入几乎是不可能的。但是,我现在没有时间去更改我们网站中所有与数据库相关的代码。(尤其是我刚在PDO工作,就会有一些学习曲线)。因此,我想知道mysql/php函数将提供与PDO相同的安全性。
这两点是否足够呢?
确保所有的$_GET和$_POST数据都是预期的类型(例如产品I应该是数字的,所以我可以使用is_numeric)。
使用mysql_real_escape_string。
或者还有什么我该做的?网站的方式是,基于查询字符串中的id=x,事情可能会转到数据库。在黑客攻击之后,我看到的是,在数据库中,所有可以通过查询字符串进入数据库的东西都被cd
浏览 5提问于2013-05-19得票数 3
回答已采纳
1回答
我在使用python从我的数据库中选择执行MySql查询时遇到了一些问题。我尝试了两种方法来实现此目的,但这两种方法都返回了如下所示的错误: mysql.connector.errors.ProgrammingError: 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%s' at line 1 我想做的是在传递usernam
浏览 115提问于2021-07-28得票数 0
1回答
您好,我正在尝试创建一个订阅邮件列表小部件。这是一种工作方式,但每次插入后都会添加一个空行。我想jsut能够让用户添加他们的姓名和电子邮件地址到2个输入,然后点击提交,然后详细信息应该保存到数据库中,避免垃圾邮件和复制等。
这就是我到目前为止所在的地方,希望有人能给我一些指示,我对php非常陌生,所以任何帮助我都很感激,谢谢!
<?php
// Connect to server and select database.
//mysql_connect("$subsc_hostname", "$subsc_username", "
浏览 2提问于2014-01-28得票数 0
3回答
我刚接触mySQL,我用过的代码显然已经过时了,所以我换成了PDO。我试图尽可能准确地将我的代码从旧风格转移到PDO,但现在我无法连接,我确信我只是在做一些愚蠢的事情来搞乱它。
这是我的旧代码,它是有效的:
//insert.php
mysql_connect("localhost","root","root");//database connection
mysql_select_db("Menu_Items");
$name = $_POST['food'];
$order = "INSERT INT
浏览 4提问于2013-02-28得票数 0
回答已采纳
4回答
我将在这里提供一个简单的例子:
$query = "select id from accounts where email='$_POST[email]' and psw='$_POST[password]'";
$result = mysql_query($query,$con);
if($row = mysql_fetch_assoc($result))
return true;
else
return false;
如果password是1' or '1'='1,那么就可以这么做了!
你还知道
浏览 1提问于2009-12-09得票数 0
我刚刚开始将我的网站从mysql转换为mysqli,并将我的一个函数更改为mysqli。我上传了这个新函数,但是现在数据库中没有显示任何结果。那么,这仅仅是代码,或者不需要整个网站都在mysqli中才能运行函数?会不会是因为我的数据库连接仍然是mysql?我把这个转换成
function viewOrdersAdmin(){
//This block grabs the orders
$order_list = "";
//Selecting all the orders in the table from that member
$sql = mysql_query("
浏览 0提问于2013-03-16得票数 0
对于每个查询,还是只有当页面上有用户输入时,我才必须使用mysql_real_escape_string?
假设我有:
$check = mysql_query ("SELECT * FROM users WHERE user='$user' AND pm='$on'");
$numrows_check = mysql_num_rows($check);
if ($numrows_check == 1) {
如果页面没有用户输入,我需要在这里担心SQL注入吗?
我知道pdo和mysqli,我是专门问mysq
浏览 2提问于2016-03-12得票数 3
回答已采纳
我正在尝试更新我的不安全的登录系统。然而,无法找到如何合并一个if (password_verify..。命令。
任何帮助都将不胜感激。
//Create query
$qry="SELECT * FROM user WHERE username='$username' AND password='$password'";
$result=mysql_query($qry);
if($result) {
if(mysql_num_rows($result) > 0) {
//IF Login Successful
浏览 2提问于2015-07-16得票数 0
回答已采纳
3回答
我想要构建一个简单的CMS系统,它可以直接连接到我的远程数据库(mysql),并且能够添加、删除/更新字段/记录。
有这方面的例子吗,教程?我该从哪里开始呢?
我假设语言应该是php?(是否已经有任何免费脚本可以做到这一点?)我想建立我自己的不管。
浏览 6提问于2011-07-28得票数 2
1回答
管理面板测试方法
、、、
我目前工作在一个管理面板项目和工作与自由职业者为它。他正在使用引导主题,php和mysql。我们即将结束这个项目,我想测试它之前,因为我得到它,但我是非常缺乏经验的测试。
我的第一个问题是我应该应用什么样的测试方法(安全性,ui)?其次,由于它需要用户名和密码,我可以应用什么类型的自动测试方法?
浏览 5提问于2015-01-14得票数 0
我的插入请求中有一个双值。在这个双值中,我将逗号转换为一个点,当我在MySqlCommand规则中创建类似于MySQL的规则时,它有12.5而不是12,5。但是,我的字符串将我的点改为逗号,用逗号发送插入请求,并触发异常。为什么MySqlCommand要创建一个12,5而不是12.5的字符串?
string valueCapteur = "12,5";
valueCapteur = valueCapteur.Replace(',', '.');
double.TryParse(valueCapteur, NumberStyles.Any, Cul
浏览 2提问于2018-04-16得票数 1
回答已采纳
1回答
关于SQL注入和参数化查询的问题
、、、、
它接受C#表单的输入,文本框更新我们的mysql服务器,当表单加载时,数据库中的现有值也从DB加载。
我是CSUS的一名学生,这个项目是我软件工程入门课程的一部分。为了完成这个项目,我和我的团队自学了C#和SQL,所以我们所做的每一件事要么不完全正确,要么真的很糟糕。我最近发现了SQL注入,并且正在尝试编写我的应用程序来防止它。我读到我需要使用参数化的输入,但我在语法上有点困难。我发现的大多数示例似乎都假设我比我更了解C#或SQL,并且它们显示了正确的语法,而没有许多示例说明如何将其从糟糕的语法中转换出来。
PDFExporter是我创建的一个库,它有一个全局变量类,其中包含一些字符串常量,其
浏览 1提问于2014-04-25得票数 0
1回答
我来自NodeJs/PHP背景。
在这里,您有一个数据库(我使用MYSQL )和一个库来执行数据库中的sql查询。
什么是经济?它像Elixr中数据库的库包装器吗?
什么是迁徙?既然我已经在MySQL中创建了数据库,为什么还要创建呢?
假设我只创建了mysql数据库,那么从Elixr使用mysql数据库的推荐方法是什么?(并配置了elixr凤凰和所有东西)
例如:数据库example
表 thread
id x- title
表 comment
id _ text _ thread_id
浏览 2提问于2017-04-11得票数 0
回答已采纳
我正在使用C++制作一个cgi程序。它允许用户在网站上注册信息并登录。我担心的是安全。通常,MySQL在使用php接收表单时容易受到MySQL注入的影响。我正在使用MySQL连接器/C++ API。
在使用C++时,MySQL注入方法是否适用于cgi程序?C++ cgi程序仍然是易受攻击的到MySQL注入吗?
我知道cgi程序有自己的安全问题,比如缓冲区溢出,但我询问的是MySQL安全。
浏览 0提问于2015-05-25得票数 0
回答已采纳
事实上,我做了谷歌,得到了这么多的结果,但我无法理解,因为我是这个领域的新手。
那么,什么是PDO是一个简单的方法,为什么我要使用这个,什么是SQL注入,等等?
实际上,我的代码就是这样的。
config.php
<?php
$mysql_hostname = "localhost";
$mysql_user = "root";
$mysql_password = "";
$mysql_database = "testdb";
$prefix = "";
$bd
浏览 5提问于2014-10-10得票数 0
是否有人可以为复选框、单选按钮或下拉菜单执行sql注入(例如,国家、出生年份)?
另外,假设有人在文本字段中输入了猫的名字,那么在我将它们插入到mysql表中之前,运行下面的代码行是否足够?
$catsName = preg_replace('/[^a-z]/i', '', $_POST['yourCat']);
或者我必须另外做这件事?
$catsName = mysql_real_escape_string($_POST['yourCat']);
浏览 2提问于2011-07-10得票数 1
回答已采纳
1回答
我正在尝试做一些测试,看看我的事务性方法是否正常。但是,我不完全理解是否应该模拟数据库,以及JOOQ是如何进入这个等式的。下面是带有将角色添加到数据库中的服务类。
@Service
public class RoleService implements GenericRepository<Role>
{
@Autowired
private DSLContext roleDSLContext;
@Override
@Transactional
public int ad
浏览 4提问于2022-01-25得票数 1
5回答
MYSQL注入和md5加密
、、、、
如果我用md5加密MYSQL注入,它还会执行吗?如果我在执行"mysql_real_escape_string“之前加密MYSQL注入,它会使mysql注入无效吗?我应该在加密之前运行"mysql_real_escape_string“吗?
浏览 0提问于2011-08-12得票数 1
回答已采纳
2回答
我使用Vaadin框架实现了一个用于渗透测试的小型网站。我在后台运行了一个MySQL数据库,还有一个Jetty。
该网站易受手动SQL注入攻击。但是,当我想使用像sqlmap这样的强大工具时,我找不到任何漏洞。主要原因是我的网站的网址不包含可注入参数。相反,我得到了以下信息:
!main/test: event not found
如何将URL更改为易受攻击?
http://localhost:8080/#!main/text
浏览 0提问于2016-09-27得票数 0
2回答
因此,我刚开始使用sqlmap来学习我的应用程序中的sql注入漏洞。在这里,我按照一些教程遵循步骤。
以下是我遵循的步骤:
sqlmap.py -u "http://www.myurl.org/dis/data.php?id=3" --dbs
控制台显示:
[11:19:45] [INFO] testing connection to the target URL
[11:19:46] [INFO] testing if the target URL is stable. This can take a couple of
seconds
[11:19:47] [INFO] t
浏览 0提问于2013-10-16得票数 2
我有以下PHP代码
$con = mysqli_connect($host, $user, $password, $database) or die ("Couldn't connect to database"); //assume these variables are declared
$sql = "INSERT INTO Users
(
FirstName
,MiddleName
,LastName
)
Values
(
浏览 5提问于2013-08-27得票数 0
回答已采纳
我遇到了一些使用mysql_query($sql) or die(mysql_error())的遗留代码
很好奇,注意到在电子邮件输入中有一个正确的" .以用户身份显示了mysql_error()的输出。
您的SQL语法有错误;请检查与您的MySQL服务器版本对应的手册,以获得在第1行'"email@email.com""'附近使用的正确语法。
mysql_query('SELECT * FROM users WHERE users_email_address = "'.$email.'") or die(
浏览 0提问于2019-08-10得票数 1
回答已采纳
4回答
代码如下:
<?php
$post = htmlspecialchars($_GET["story"]);
$con = mysql_connect("localhost","xxx","xxx");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("xxx", $con);
$sql="
UPDATE `tool` SET
`ti
浏览 0提问于2012-05-29得票数 0
如何使用INSERT INTO On Duplicate Key UPDATE进行表单输入?我在网上找到的所有示例都带有计数器或预定值。
我已经能够让我的代码使用标准的UPDATE和SET方法(感谢一些非常有用的成员),但是我的表真的需要使用INSERT INTO On Duplicate Key UPDATE。
'user_id'在所有表中都是惟一的主键,并且在除account表之外的所有表中都是外键。
<?php
session_start();
require_once('config.php');
require_once('open
浏览 2提问于2012-07-26得票数 0
2回答
我希望第一列的结果-基金的短名称是超级链接到关于每个记录的额外细节。我该如何继续呢?或者更好的做法是调用一个链接,链接到将运行另一个查询的详细信息页面。这看起来有点静态。
下面是我正在使用的示例查询。
<?php
$con = mysql_connect("localhost","root","");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
mysql_select_db("bdcarterascv2", $con);
浏览 2提问于2012-08-30得票数 4
回答已采纳
1回答
我的php代码有问题。我正在尝试使用表单将数据写入mysql。该表单还包含视频上传,它将视频存储在本地,并将视频的url存储到数据库中。问题是,当我测试它时,它会产生多个错误,如“视频名称”、“视频描述”、“视频描述”等未定义的索引。有趣的是,如果我没有选择要上传的文件,并且仍然在其他字段中输入一些内容,它就会将信息写入数据库,而不会产生错误。所以这和视频有关。有人知道会是什么吗?谢谢!表格代码:
<form action="videoUpload.php" id="videoUp" method='POST' enctype="m
浏览 2提问于2012-05-24得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
