5回答
转义引号php和mysql
、、、、
可能重复:
我通过addslashes($str)转义引号。当我将输入从文本字段保存到MySQL数据库时,这是防止MySQL注入的充分保护,还是需要进一步过滤输入,因为您可以绕过这个转义方法?或者有什么更好的方法来做这件事?
浏览 9提问于2012-07-18得票数 1
首先,我要指出,这是在我自己的数据库上进行的一次教育尝试,目的是更好地理解MySQL注入以保护我自己的代码。$user = (!empty($_POST['user'])) ? $_POST['user'] : '';
$pass = (!$_POST['pass'] : ''
浏览 23提问于2009-10-02得票数 5
回答已采纳
2回答
$username = mysql_real_escape_string($_POST['username']);
$checkPassword = mysql_query("SELECT * FROM user_info WHERE Username='$username' ANDPassword='$password';"
浏览 0提问于2014-03-27得票数 0
1回答
如何在不使用MySQL转义字符串的情况下对插入到SQL表中的数据进行转义,以防止SQL注入?Yii::app()->quoteValue不起作用,因为它在插入到mysql中的输入两边加了引号""。有没有PHP函数可以用来防止SQL注入?
浏览 1提问于2012-02-21得票数 2
回答已采纳
我目前正在使用库将我的应用程序连接到一个MySQL实例。在阅读了我发现的其他一些StackOverflow问题和文章后,它听起来像是node-mysql在每次调用query()方法时自动转义不安全的字符。但是在一些代码片段中,我还看到在query()方法中调用了mysql.escape()和mysql.escapeId()。似乎当query()自动转义一些危险字符时,您仍然应该调用mysql.escape()和mysql.escapeId()来
浏览 1提问于2014-08-05得票数 9
回答已采纳
4回答
是否需要从数据库转义用户输入?
、、、、
因此,我了解MySQL注入,并且总是在将其放入数据库之前对所有用户输入进行转义。然而,我想知道,想象一下一个用户试图提交一个查询来注入,然后我将其转义。所以:(sql::escape()包含我的转义函数)mysql_query("INSERT INTO `table`bar`) (
浏览 3提问于2011-09-16得票数 16
回答已采纳
1回答
如果有人向我的基于PHP的应用程序注入MySQL语句。我使用MySQLi真正的转义字符串,但是攻击者只是简单地注入了SQL语句。让我们假设:
而且,即使在转义字符串之后,代码也按如下方式执行。
SELECT * FROM ex WHERE id = 1 LIMIT 10
浏览 1提问于2016-02-24得票数 0
回答已采纳
我听说准备MySQL查询会阻止注入。我正在使用nodejs,所以我找到了。根据文件,
守则是:var inserts = ['users', 'id'
浏览 2提问于2018-11-20得票数 1
回答已采纳
2回答
我正在使用Php和Mysql构建一个小型/测试CMS。所有内容都在添加、编辑、删除和显示级别上进行了惊人的工作,但是在完成代码之后,我想在Admin后端添加一个WYSIWYG编辑器。我的问题是,我正在使用转义方法,希望使我的表单更加安全,并尝试转义注入,因此,当在我的编辑器中添加样式的文本、图像或任何其他HTML代码时,我会将它们作为行代码打印在我的页面上(这是完全正确的避免攻击)我的逃跑方法:return htmlspecialchars($text, ENT_QUOT
浏览 2提问于2016-04-21得票数 2
回答已采纳
我想有一个功能行为作为mysql_real_escape_string而不连接到数据库,因为有时我需要做干测试没有数据库连接。mysql_escape_string已被弃用,因此是不可取的。
浏览 3提问于2009-07-22得票数 95
回答已采纳
我想知道我是否可以转义字符串(使用real_escape_string),而不是首先创建一个对象实例来应用函数?我确实意识到,我可以构建一个函数,在没有MySQL的情况下手动转义字符串。
浏览 3提问于2012-11-18得票数 4
回答已采纳
1回答
XSS漏洞定位器
、、、
文章中描述的定位漏洞的方法之一是尝试注入以下内容:'';!--"<XSS>=&{()}那么,如果文档源中有标记,那么站点就容易受到XSS的攻击。为什么上面的代码片段绕过了一些XSS和转义过滤器?
浏览 1提问于2016-12-10得票数 1
我正在使用felixge的MySQL节点驱动程序。在文件之后
我的问题是:在从MySQL加载数据后,数据是否应该在某种程度上“未转义”?转义字符串后,将其保存到MySQL数据库中。但是,在将字符串加载回内存后,console.log(string)将显示转义代码\n而不是换行符。
浏览 3提问于2013-10-04得票数 3
回答已采纳
自阅读此以来,我一直在研究如何更好地防止PHP/mysql中的sql注入,而不仅仅是使用mysqli/mysql真正的转义。我看过这个非常好的线程
我经常在桌面/内部工具上做ms sql server的内容,我们总是编写存储过程来防止这种情况,所以我使用PDO 阅读了PHP/mysql中的等价物。如果应用程序只使用已准备好的语句,则开发人员可以确保不会发生SQL注入(但是,如果使用未转义的输入构建查询的其他部分,则SQL注
浏览 3提问于2011-06-30得票数 4
回答已采纳
在MySQL上运行查询最安全的方式是什么?我知道MySQL和SQL注入所涉及的危险。我应该使用什么,应该如何使用它在不冒MySQL注入风险的情况下通过python安全地在MySQL数据库上查询和执行插入操作?
浏览 1提问于2011-10-28得票数 70
回答已采纳
1回答
我有一个网站:https://bugbounty.com/test/"injection is js",但是"是用\转义的,我试图注入</script><script>alert(),但是https:/你知道怎么绕过它吗?
浏览 0提问于2023-03-19得票数 0
根据Node.js的mysql :
或者,你可以用?字符作为您希望转义的值的占位符..。这看起来类似于MySQL中准备好的语句,但是实际上只是在内部使用相同的conn
浏览 4提问于2017-09-22得票数 2
回答已采纳
如果我在MySQL 5.3中使用预准备语句,我是否仍然需要使用mysql_escape_string来避免SQL注入攻击?
浏览 1提问于2012-03-02得票数 2
回答已采纳
1回答
可能重复:
我们的共识是,魔术引号是不够的,我们应该始终验证和清理用户输入,以及使用准备好的查询。然而,这就引出了这个问题,在启用了魔术引号的服务器上,什么样的sql注入会绕过魔术引号强制执行的安全措施?为什么魔法引号不安全?为了让我相信神奇的引号是不安全的,我希望看到一个真实的例子,注入将绕过这些措施。有注射的例子可以绕过这个设置的魔法引号吗?埃里克
浏览 2提问于2011-06-15得票数 0
目前我得到了这个:然后我用下面的密码检查密码: $password_result = mysql_result ($password_q'; } else {
这里是否需要使用<e
浏览 4提问于2016-04-22得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
