2回答
在本例中,是否可以使用SQL注入更新MySQL数据库中的字段或插入新行:
PHP代码中唯一的保护是mysql_real_escape_string()。
查询是用双引号构造的:"select id from db where id = $id"而不是单字串文字引号。
数据库是mysql (使用mysql_query php调用),所以我认为堆叠查询是不可能的(如果我错了,请纠正我)。
使用mysql而不是mysqli。
我试过使用像1; update users set first_name = foo这样没有运气的东西,并尝试以十六进制和八进制格式传递逗号、'和八进制
浏览 0提问于2014-11-11得票数 5
回答已采纳
我只是想问在Mysql中是否有一种安全的方式来存储客户的信用。
假设他支付了100美元,我们在数据库中记下了100分。每一分都值一美元。一旦他使用了系统-我们从他的账户中减去一个计算出的金额并在他的仪表板中更新-这种情况每天都会发生很多次。
我只是想和你们确认一下,这是正确的方法吗?因为有人可能会黑进系统,把他的账户更新到100,000,然后无休止地使用系统...这就像一个预付费系统,用户可以根据他使用的资源等进行计费。
我想以某种方式确保它的安全,这样我们就可以用PHP进行计算,并在一天内多次向许多用户更新它……
有什么建议吗?
浏览 0提问于2013-01-30得票数 0
回答已采纳
我正在为我的安全模块在大学里做一个SQL注入项目,我正在努力学习它是如何工作的。
当脚本不过滤输入,然后循环遍历DB结果集,在屏幕上显示数据时,我可以看到它是如何工作的。但据我所知,以下代码是,不容易受到注入的影响,因为它只希望在屏幕上显示一组值:
<?php
mysql_connect("localhost", "root", "");
mysql_select_db("testdb");
$result = mysql_query("SELECT id, name, description FROM test_
浏览 9提问于2014-06-19得票数 0
回答已采纳
5回答
如何使此查询具有sql注入验证功能?
$sql=mysql_query("SELECT * FROM updates ORDER BY item_id DESC LIMIT 16");
while($row=mysql_fetch_array($sql))
{
$msg_id=$row['item_id'];
$message=$row['item_content'];
}
或者有人可以给我展示一些例子,或者给我发送一个教程的链接,我对此非常陌生,如果有人能帮助我,那就太好了!:)
浏览 2提问于2011-03-30得票数 2
回答已采纳
1回答
如何阻止所有黑客攻击?
、、、、
这个题目解释了我的大部分问题。操作系统是linux (Lubuntu)。服务器是Apache2 (PHP5)、MySQL 5.6和FTP (Samba)。
浏览 0提问于2014-09-08得票数 -2
回答已采纳
1回答
简而言之,问题在于
Field:ProfileItems = "action,Search,Work,Flow,pictures";
Mysql query = "SELECT ProfileItems FROM addUsers";
然后我用,生成数组,例如:array('action','search',...etc)
并为,创建字段
结果:
<form>
action : <input type=text name=action>
search : <input type=text name=
浏览 1提问于2011-05-08得票数 0
回答已采纳
我是夏洛克动作栏的新手。我已经实现了带有视图页面的夏洛克动作栏。我想要更改所选选项卡上的选项卡文本颜色。我对选择器感到困惑,styles.Pls向我推荐了一些初学者教程
浏览 4提问于2013-02-05得票数 0
1回答
我试图在泽西使用hk2 DI,并且我已经阅读了一些关于这个问题的文本。(我想大部分都过时了)目前我有一个扩展ResourceConfig的类:
public class MyApplication extends ResourceConfig{
public MyApplication(){
register(new AbstractBinder() {
@Override
protected void configure() {
bind(AuthenticationServiceImpl
浏览 2提问于2017-01-10得票数 0
回答已采纳
由于某种原因,除了ID之外,没有任何东西被发送到我的数据库。
<form action="sendmessage.php" method="post">
<input name="youremail" type="text" class="your-field" id="youremail" value="Your Email Address" size="35" />
<input name="name"
浏览 2提问于2013-02-05得票数 0
我有两个表构成我的登录/注册系统的一部分:
这些是用户登录和userlogin_fb
用户登录处理传入的网站登录/注册
userlogin_fb处理传入的facebook连接登录/首次注册
更多细节@
但是,如果用户使用facebook连接登录--系统将检查它们是否已注册到数据库,如果没有,则为用户创建一个新记录:
if ($user){
// We have an active session, let's check if we have already registered the user
$query = mysql_query("SELECT
浏览 3提问于2011-06-06得票数 3
回答已采纳
我得到了一组N个2D坐标。配对所有可能的2-组合
坐标,然后我们可以形成N* (N - 1) /2个平行于
这两个轴的两个点是相邻的顶点。现在我需要找到
这些矩形的面积之和,其中暴力强制(即迭代
通过所有组合)提供TLE。到目前为止,我最好的尝试是:
For example, if N = 5, then for all coordinates (xi, yi) where 0 <= i < N:
the sum of rectangle areas would be
(x0 - x1) * (y0 - y1) +
(x0 - x2) * (y0 - y2) +
浏览 1提问于2018-09-29得票数 0
1回答
我正在尝试学习挂钩,并只想钩一个..exe的发送/recv函数。
我将该项目构建为一个.dll,然后将其注入.exe
编辑:解决
浏览 1提问于2017-07-27得票数 1
1回答
Android NFC卡仿真
、、、、
我想在Android上使用NFC进行卡仿真。当我把这个设备放在Mifare读卡器上时,我得到了卡号。是否可以在我的设备中以编程方式更改此卡号?
浏览 35提问于2015-04-28得票数 3
在一些基础服务器上,mysql和Redis之间有基准比较吗?有报道称Redis的QPS约为100k/s,mysql网站称其基准为0.8M/s,mysql不可能因为服务器不对等而比Redis快,那么在相同的服务器条件下,mysql和Redis的基本基准QPS是多少呢?有人可以展示一些基准测试报告吗?非常感谢
浏览 65提问于2020-06-11得票数 1
我试图在我的spring引导application.properties文件中添加一个环境变量。我知道如何在非spring启动项目中添加它,但是我找不到添加环境变量的字段,我看到的就是:
这是我的application.properties文件,这可能有帮助。
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/FTHLDB
spring.datasource.username=root
spring.datasou
浏览 10提问于2022-03-12得票数 5
回答已采纳
我正在自我训练如何使用加密。我是一个php开发人员,在业余时间,我正在构建一个在线应用程序,它提供了基本的cms功能,以帮助我更好地理解加密设计。我正在使用加密,以保护数据,如果被盗,并让公众访问,就像发生了什么土坯。
我对这个应用程序的限制是:
最终用户将使用这个应用程序,不能一直被信任地记住他们的密码,所以他们的密码不能在加密过程中使用,因为他们很有可能需要在某个阶段重置他们的密码。
买不起供应商密钥管理软件或hsm。
在会话期间登录到cms以加密或解密数据时,不能让用户加载密钥。事实上,用户将无法访问所使用的密钥,因为他们无法被信任来维护密钥的安全。此外,外部用户(如contractor
浏览 0提问于2013-12-04得票数 3
我想有一个功能行为作为mysql_real_escape_string而不连接到数据库,因为有时我需要做干测试没有数据库连接。mysql_escape_string已被弃用,因此是不可取的。我的一些发现:
浏览 3提问于2009-07-22得票数 95
回答已采纳
我有一些关于injectFile的基本问题:
什么时候重新注释使用injectFile(代码)而不是page.evaluate(代码,.)要让代码进入要刮掉的页面?使用injectFile(代码)有哪些不同/优缺点,例如在性能、抗刮擦检测等方面?如何通过替换gotoFunction和实现page.on(“domcontentloaded”,.)来实现injectFile(代码)?活动,像我一样?或者有没有更好的方法呢?,如果不是我在上一篇文章中描述的,那么“生存导航”选项的用例是什么?这是干什么用的?
向你问好,沃尔夫冈
浏览 4提问于2019-11-07得票数 0
2回答
概述
阿诺姆今天声称对维基解密的拒绝服务攻击负责。他们正在使用一种名为RefRef的新软件。它似乎利用MySQL来利用服务器的处理能力来对付自己。当然,这不需要僵尸网络。
问题
我找不到关于这个新软件的多少信息。我想知道我需要修补什么MySQL才能防止这种攻击。
浏览 0提问于2011-09-01得票数 8
回答已采纳
我只是在阅读关于mysql注入的文章,我想确认一下,如果你强制用户使用列表选项来输入mysql (这些输入被设置为只读),那么系统本质上是不会受到mysql注入的影响的?是否需要采取措施来保护以这种方式开发的站点的恶意mysql注入尝试?
浏览 0提问于2016-03-26得票数 0
3回答
作为使用和管理MySQL服务器的新手,我正在寻找资源来了解MySQL安全的当前状况。请分享您可能知道的任何资源,或您在这一领域获得重要知识的经验。
浏览 0提问于2010-10-12得票数 2
2回答
我知道,全球不是(;
我是面向对象程序设计的新手,我正在将我创建的一些函数重构为类,但我遇到了一个问题。我的一些类是从用户输入的页面本身调用的(例如:$Link->create('page/to/go');)。因为这是在任何类之外,没有问题,链接被创建。
但是,我有一个类,它尝试在创建用户时登录,如果输入的电子邮件不在数据库中,它将用户重定向到注册页面。显然,只做header ('Location '.$Link->create('page/to/go')是行不通的。
我要做的是将create方法设置为静态,然后从任何地方调用它。但我
浏览 3提问于2012-09-06得票数 2
回答已采纳
今天,我用acunetix检查了我的脚本,并在我的一个文件中找到了一个“盲SQL注入”。
Accunetix消息:
攻击细节
HTTP头输入x-转发-for被设置为1‘和睡眠(2)=’
如何修复此漏洞:
您的脚本应该从用户输入中筛选元字符。有关修复此漏洞的详细信息,请参阅详细信息。
我已经用mysql_real_escape_string() func转义了所有输入,但是还存在错误。
我尝试用以下代码过滤我的文件中的标题:
if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
mysql_real_escape_string(a
浏览 0提问于2013-09-09得票数 2
回答已采纳
1回答
在游戏中捕捉键盘?
、、、
我正在尝试使用unity3d来执行按钮监控功能,但现在我遇到了一些困难。我的第一个方法是通过钩子做,一切都很好,直到我遇到英雄联盟,在这个游戏的界面上,我的键盘不能被钩子捕获。主要代码如下:
[DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern IntPtr SetWindowsHookEx(int idHook, LowLevelHookProc lpfn, IntPtr hMod, uint dwThreadId);
public delega
浏览 4提问于2021-10-25得票数 1
回答已采纳
我习惯于在PHP/MySQL中进行开发,没有开发SQL Server的经验。我已经浏览过文档,在我所读到的一些方法中,它看起来类似于MySQLi。
例如,对于MySQL,我使用函数。PHP/ Server是否有类似的功能?
为了防止SQL注入使用Server,我需要采取哪些步骤?
Server与MySQL之间关于SQL预防的区别是什么?
还有- 的帖子准确吗?Server的转义字符串字符是单引号吗?
浏览 18提问于2010-04-09得票数 13
回答已采纳
我想使用Django的list_editable功能,让我网站的管理员可以一次快速更新一大堆项目,甚至只是快速更新单个项目。但是,此站点上有多个管理员。
我主要关心的是:如果一个管理员编辑记录A (B,C),而另一个管理员编辑记录D (E,F),在同一页上,来自不同的计算机,会发生什么?是在每个用户单击“保存”时提交所有可见记录的信息,还是只提交修改后的记录?换句话说,第二个提交者是否会覆盖第一个提交者的数据,即使他们正在编辑不同的记录?
这不是什么问题,而是我可以接受的问题:如果两个用户编辑相同的记录会发生什么?我假设第二个提交将覆盖第一个提交,即使Django已经准备好了一些东西来解决我主
浏览 0提问于2012-05-10得票数 0
回答已采纳
我想在来自维基百科page..but mysql的数据库中插入几行文本(段落),当我尝试在db中插入数据时,MySQL正在显示此错误:“您的SQL语法有错误;检查与MySQL服务器版本对应的手册,以获得使用MySQL 's大写的正确语法。”有人能帮我解决这个问题吗?以下是我迄今为止所做的……
<?php
$loc=$_POST["new"];
$url1 ="https://en.wikipedia.org/w/api.php?format=json&action=query&prop=extracts&exint
浏览 0提问于2015-03-08得票数 0
回答已采纳
我有两个文本区字段,它们作为text保存到数据库中。如果文本区域输入中包含select、selected或selecting,则查询失败。我以前从未遇到过这种情况。我做错了什么吗?
下面是update查询代码示例:
$Query = "UPDATE project SET status = '".mysql_real_escape_string($_REQUEST['status'])."',
name = '".mysql_real_escape_string($_REQUEST['name']).&#
浏览 2提问于2010-08-18得票数 0
5回答
我正在启动一个非常基本的站点,它使用单行表单来发布到数据库中,然后在页面上回显该$comment变量。我不知道PDO,但如果我真的需要它来做这么简单的事情,我愿意学习。
else
mysql_query("INSERT INTO posts (postid, post_content)
VALUES ('', '$comment <br />')");
}
mysql_close($con);
在这段代码上面,我有一些基本的strpos命令来阻止一些我不想发布的东西。
从我这样做的方式来看,我以后会遇到注射的问题吗?
浏览 1提问于2012-06-28得票数 1
回答已采纳
2回答
我有一个MySQL数据库,在其中我保存了我的网站上所有用户的邮件地址。我怎样才能给他们每个人发一封电子邮件呢?
我猜PHP有点慢。我尝试过CGI脚本,但它失败了(它发送了一些电子邮件,然后被xD卡住了)。
有没有一个“可用的”纯PHP解决方案?我只有300个用户自动取款机,但我想要的脚本工作,像10.000个用户。
我听说过SwiftMailer (或类似的东西),但我想知道我是否可以创建自己的脚本。
浏览 3提问于2011-09-15得票数 0
本文(PDF格式)讨论了一种基于大量查询的盲注入技术。
问题:
与普通的基于时间的技术相比,有人能向我解释使用大量查询的目的吗?也许,当禁用存储过程和基准函数时,使用大量查询是否是执行一些漏洞调查的唯一方法?
就MySQL而言,它需要30秒的时间,这意味着什么?我的推理是:如果需要30秒,那么注入的查询(繁重的查询)就可以执行,因为查询是专门为MYSQL量身定做的,所以数据库平台是MySQL。但是负面的结果呢?
我说得对吗?重查询方法仅用于检索有关数据库平台的信息吗?这实际上是获取这种信息的另一种方式。其他方法处理基准aand睡眠功能(MySQL)。
浏览 0提问于2013-01-28得票数 2
回答已采纳
1回答
重新散列正在更改的密码
、、、
我目前在哈希方面有问题。下面是一些背景信息;用户创建一个帐户,他们的密码使用password_hash($password,PASSWORD_BCRYPT)进行散列。然后,当他们登录时,通过password_verify检查密码,如果正确,他们将被登录。
然而,当用户进入他们的配置文件并编辑他们的详细信息,更改他们的密码,他们就再也不能登录了。此外,如果员工更改用户密码,他们仍然无法登录。我一直在寻找和解决这个问题,但什么都找不到,最重要的是,当员工(比如管理帐户)更改其他员工的密码时,他们可以使用他们的新密码登录。我所做的代码与正在工作的更改密码和重新哈希代码的代码基本相同,但它仍然不起作用
浏览 2提问于2015-03-20得票数 0
回答已采纳
好的,我正在将我的网站从MySQL更新到MySQLi,这意味着我必须重新编写一些数据库的东西。
我在php.net上研究了如何使用MySQLi查询将数据插入到表中,并完全按照他们所说的做了,但没有成功。
下面是我的连接变量:
$con = mysqli_connect("localhost", "username", "password", "database");
下面是插入数据的代码:
mysqli_query($con, "INSERT INTO users ('user', 'pass
浏览 3提问于2013-12-26得票数 2
1回答
我有时在挂起电话时会出现这个错误。其余的都是正常保存的。我揭露了一个坏记录和一个好记录
Dec 6 19:47:19 ERROR31348: cdr_mysql.c:349 mysql_log: cdr_mysql.c:349 mysql_log:未能插入数据库:(1292)错误的日期时间值:‘sip/sip_lbascunan/961258985,160,wWTt’,用于第1行的“应答”列。
好行
‘1575675020.46’,‘1575675020.46’,‘343591171’<343591171>,‘343591171’,‘101961258985’,‘引擎’,‘SI
浏览 1提问于2019-12-09得票数 0
我在谷歌和stackoverflow上搜索了“开源”、"MySQL扩展“和”弃用“的组合,但没有找到帮助MySQL扩展弃用的变通方法。我所设想的是一组类或函数,它们接受完全相同的输入并以完全相同的格式输出结果,但是使用的是PDO而不是MySQL扩展。其他开源的变通方法将不胜感激。此外,如果有人知道MySQL扩展的确切删除时间,我真的很想知道-我在互联网上搜索了一下,但没有找到。
注意:我确实意识到重写代码更好,因为这样我就可以利用绑定参数等安全功能(我在编写新代码或重写旧代码时一直在使用PDO和绑定参数,目的是在编写新代码或重写旧代码时将其全部替换,因此网站代码的很大一部分已经存在),
浏览 0提问于2013-07-06得票数 1
回答已采纳
2回答
我无法在代码中获得登录用户,请您帮助我解决以下问题:
不起作用的代码:
$result = mysql_query("SELECT * FROM clients WHERE user = '$_SESSION['user']['username']'")
or die(mysql_error());
但它正在努力展示它的想法,在这里:
echo htmlentities($_SESSION['user']['username'], ENT_QUOTES, 'UT
浏览 1提问于2013-12-04得票数 0
回答已采纳
我有三个省区村,我希望能在每一个村中插入价值.但是,我需要首先检查用户输入是否为空,以便省域能够插入区,并检查区域字段的用户输入是否为空,以便用户输入村庄值及其坐标。
因此,我编写了这段代码,但它并不像我想要的那样工作,有人能帮助我吗?看看我在哪里犯了这个错误。
到目前为止,我只写了这个村庄要添加的代码和省要删除的代码。
,即使插入了值,系统也会显示错误消息:在提交之前,必须填写其中一个字段!!
代码
if(isset($_POST['add']))
{
if(isset($_POST['city']) || isset( $_POST[&
浏览 1提问于2013-06-04得票数 0
我似乎不知道如何将使用DOM对象生成的XML文件保存到我的数据库中。
这是我的PHP:
$xmlraw = $doc->saveXML();
$xmlQuery=sprintf("INSERT INTO xmlTestTable (XMLString) VALUES ('%s')", $xmlraw);
$result = mysql_query($xmlQuery);
我也试过了:
$xmlQuery=sprintf("INSERT INTO xmlTestTable (XMLString) VALUES ('%s')
浏览 2提问于2011-03-04得票数 0
回答已采纳
我正在使用下面的代码来查询前30个产品ID的拉类别和库存,它们存储在PHP中的$IDs数组中。
//Category
for ($n = 0; $n < 30; $n++) {
$ID = $IDs[$n];
$result = mysql_query("SELECT Category FROM Products where Code= '$ID'", $link);
if (!$result) {
die("Database query failed: " . mysql_error());
浏览 5提问于2015-02-13得票数 0
回答已采纳
1回答
我有一个检查用户输入的函数,我想知道它是否可以防止所有这种攻击。另外,如果我想把这个函数包含在每个需要它的页面上,我可以把它放在一个自己的php页面中,然后在需要的地方' include ()‘它。谢谢。
function secure_data($value)
{
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
if (function_exists("mysql_real_escape_string" )) {
$value = mysql_real_escape_stri
浏览 1提问于2011-12-30得票数 1
回答已采纳
我试图通过脚本传递一个查询,但是我得到了一个SQL错误。在Heidisql中运行相同的sql语句很好。
我的问题是:-我做错什么了?
错误信息
_mysql.connection.query(self,query) _mysql_exceptions.ProgrammingError:(1064,“您的SQL语法有错误;请检查与MariaDB服务器版本对应的手册,以获得在第1行”Gabrielsen“附近使用的正确语法”)
Python脚本,其中数据库是与数据库的正确连接
F="Gunnar Gabrielsen"
Database.query('INSERT
浏览 2提问于2017-05-26得票数 0
回答已采纳
4回答
用php将变量插入数据库
、、、
我正在编辑一个用户登录系统的一部分,我在一个问题上非常困惑。我正在尝试允许用户使用他们的电子邮件作为查找参考来更改他们的用户名。由于某些原因,我无法正确设置$email变量。当我将变量$email更改为我知道在我的数据库中的地址时(这意味着我删除了$email并将其更改为一个存在的地址),用户名就被正确地更改了。当我将它交换回$email时,什么也没有发生。
奇怪的是,当我回显$email时,显示的是正确的电子邮件地址。我不明白为什么它不让我这样做,尽管它得到了正确的回应。即使显示了电子邮件地址,也有可能不是字符串吗?
我了解sql注入。我现在只想让代码尽可能简单,这样我就可以先让功能正常工作
浏览 1提问于2011-12-30得票数 0
3回答
退货日利息为空
、、
它首先在nodays和interest上返回null,但我意识到它没有被分配到要放入的计算中,所以我添加了AS。我正在计算DATEDIFF,所以它将插入到nodays和interest列中。我已经尝试过分配DATEDIFF($mdate,$pdate) AS nodays和(DATEDIFF($mdate,$pdate) * $amt / 365 * 0.1) AS interest,但是它仍然给我语法错误。我到底在做什么错事?
$sql="INSERT INTO contacts (
nodays, interest, pdate, mdate, amt, first, last
浏览 3提问于2014-07-24得票数 3
回答已采纳
5回答
目前,越来越多的人开始使用MySQL。这是我还没有太过大惊小怪的东西,但我现在想用它写一些脚本。
我的问题很简单,我做了一个搜索脚本,只是想知道我的php代码是否可以防止一些SQL注入。代码:
$orig = $_POST['term'];
$term = mysql_real_escape_string($orig);
$sql = mysql_query("select * from db1 where content like '%$term%' ");
这样可以吗?或者,如果有人有更简单/更好/更安全的方法,请随时让我知道。
浏览 3提问于2011-04-21得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
