Domande con tag 'sql-injection'

domande con tag
0
risposte

Ottenere set di dati di grandi dimensioni per la ricerca: MySQL, PHP, Apache, ecc

Ho cercato sul Web grandi set di dati (in particolare file di registro relativi al Web - MySQL, PHP, Apache e così via) che contengono dati di tentativi di intrusione / exploit. Sto facendo delle ricerche sull'intelligence delle minacce e vorrei...
posta 22.07.2015 - 17:34
4
risposte

Risanamento SQL query (lista nera)

Ho il seguente problema / sfida: L'applicazione Web (ASP.NET 3.5) installata sulla LAN aziendale e funzionante su DB SQL Server deve fornire la possibilità di generare report personalizzati. Questi report possono essere fondamentalmente quals...
posta 18.01.2012 - 09:27
4
risposte

Queste iniezioni SQL verificano una cattiva idea?

Lettura Prevenzione degli attacchi SQL Injection nelle stored procedure ha iniziato questo dibattito tra me e il mio partner --- e cercare l'approccio giusto non è così semplice. Non sono un esperto di sicurezza, ma cosa fa una persona quan...
posta 23.12.2013 - 18:10
4
risposte

Sostituisce tutti gli apostrofi con due apostrofi sufficienti a impedire l'SQL-injection su MSSQL?

Sto lavorando in un sito Web che non utilizza parametri su query SQL. Tutte le query sono ad hoc e il modo in cui stanno facendo la validazione dell'input mi sembra soddisfacente, non sono in grado di romperle per fare SQL Injection. Convalid...
posta 28.09.2011 - 12:20
3
risposte

SQL ha qualche debole intrinseco?

Un prof ha detto che l'injection SQL è erroneamente chiamato perché in realtà si verifica dal programma che genera SQL (es. Perl, PHP ecc.) e mi chiedo se SQL sia "abbastanza complesso" da avere qualche vulnerabilità che in realtà è colpa sua?...
posta 02.10.2012 - 05:49
4
risposte

Le citazioni di escape mi proteggono dall'iniezione SQL?

Una domanda per principianti qui. Ho appena letto una breve introduzione all'iniezione SQL su link Si dice di trovare un percorso di richiesta GET sull'applicazione PHP per vedere se è vulnerabile o meno. Ho un sito web con il seguent...
posta 08.05.2013 - 02:07
1
risposta

è abbastanza "mysql_real_escape_string"

Recentemente su StackOverflow ho visto molte discussioni che mysql_*_escape_string è deprecato e invece consigliare PDO. Il modo in cui lo stavo facendo era di consentire solo le lettere e ' nel campo name , consentendo tutti i ca...
posta 30.12.2013 - 12:59
1
risposta

Come impedire l'inserimento SQL codificato ASCII / stringa binaria in CodeIgniter

Utilizzo CodeIgniter da due anni e sto scavando nei test di penetrazione. Penso che ActiveRecord faccia un buon lavoro nel prevenire le iniezioni SQL, ma c'è qualche possibilità di aggirare il sistema di filtri di ActiveRecord tramite l'injectio...
posta 09.10.2013 - 09:47
1
risposta

Condizioni strane in cieco punto di iniezione SQL, substr () è valido per esattamente due caratteri

Sto sfruttando un punto di iniezione SQL cieco, che accetta una variabile come nome utente, quindi controlla se il nome utente esiste in una tabella. (È in esecuzione MySQL 5.X con PHP) Quindi sto usando questo per recuperare tutti i datab...
posta 07.02.2014 - 14:31
3
risposte

Questa connessione al database Perl è vulnerabile a SQL Injection

Ho questa (ridotta) query del database Perl, e mi chiedo se questo possa essere sfruttato in qualche modo. Questo è da una sfida, quindi so che le cose potrebbero essere fatte in modo diverso, il compito è sfruttarlo. A mia conoscenza utilizz...
posta 18.12.2017 - 14:03