Вопросы с тегом «sql-injection»

109
Вы наняты, чтобы исправить небольшую ошибку для сайта с высоким уровнем безопасности. Глядя на код, он заполнен дырами в безопасности. Чем ты занимаешься? [закрыто]

Я был нанят кем-то, чтобы сделать небольшую работу на сайте. Это сайт для большой компании. Он содержит очень конфиденциальные данные, поэтому безопасность очень важна. Проанализировав код, я заметил, что он заполнен дырами в безопасности - читай, много PHP-файлов, бросающих пользовательский ввод...

59
Почему механизм предотвращения SQL-инъекций развивался в направлении использования параметризованных запросов?

На мой взгляд, атаки с использованием SQL-инъекций можно предотвратить с помощью: Тщательный скрининг, фильтрация, кодирование ввода (перед вставкой в ​​SQL) Использование подготовленных операторов / параметризованных запросов Я предполагаю, что у каждого есть свои плюсы и минусы, но почему №2...

13
Является ли зависимость от параметризованных запросов единственным способом защиты от внедрения SQL?

Все, что я видел в атаках с использованием SQL-инъекций, показывает, что параметризованные запросы, особенно хранимые процедуры, являются единственным способом защиты от таких атак. Пока я работал (еще в темные века), хранимые процедуры считались плохой практикой, главным образом потому, что их...