Domande con tag 'sql-injection'

domande con tag
2
risposte

SQL Injection non funziona quando penso che dovrebbe

Sto cercando di conoscere PHP e SQL Injection, quindi ho creato un modulo di login in cui gli utenti introducono il loro nome utente e password e fanno clic sul pulsante Login. Più tardi nel server ottengo i parametri passati usando $ _POST vari...
posta 07.07.2016 - 19:12
3
risposte

Come eseguire in modo sicuro PHP da un database Mysql [chiuso]

Ho un database Mysql con un'API ad esso legata per chiamare ed eseguire il codice PHP memorizzato in quel database. Sì, hai sentito bene, codice PHP memorizzato ed eseguito da un database Mysql. Quindi, questo è abbastanza serio dal punto di vis...
posta 27.12.2016 - 16:44
1
risposta

qualcuno sta cercando di eseguire l'injection SQL ... cosa stanno cercando di fare?

Ricevo molti registri che dicono che qualcuno sta cercando di raggiungere /sign_in?t=login'+union+select+char(38,126,33),char(38,126,33),char(38,126,33),char(38,126,33),char(38,126,33),char(38,126,33),char(38,126,33),char(38,126,33),char(38,12...
posta 24.08.2014 - 09:53
1
risposta

E 'abbastanza per affrontare l'inserimento di script / codice dannoso in GET, richieste POST?

Ho un codice PHP legacy che tenta di prevenire script / SQL injection con quanto segue: if (!empty($_POST)) { reset($_POST); while (list($k,$v)=each($_POST)) { if(!is_array($_POST{$k})) { $val=str_replace("&...
posta 10.02.2011 - 11:02
1
risposta

Come salvare il sale casuale nel database

A quanto ho capito, le password salate e di hashing sono la strada da percorrere. Capisco anche che per autenticare una password salata e hash, il sale casuale deve essere salvato. Significa che se utilizzo il seguente codice per elaborare la pa...
posta 24.07.2013 - 13:13
2
risposte

È possibile includere una funzione PHP durante l'esecuzione di SQL Injection?

Considera questo codice: ?id=' UNION SELECT 1,2;"; phpinfo();//-- -&Submit=Submit Funzionerà? Query SQL: if(isset( $_GET[ 'submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check database $query = "SELECT first_name, la...
posta 30.05.2018 - 15:21
2
risposte

Che tipo di attacco è questo?

La scorsa settimana, i miei registri di traffico mostrano molti hit (di solito con tentativi ripetuti) per un URL di oltre 30 diversi indirizzi IP in tutto il mondo. Questo non è un URL che dovrebbe raccogliere più di un singolo hit e dovrebbe e...
posta 05.03.2014 - 07:24
3
risposte

È una buona idea lasciare che un database esegua un controllo della password?

Configurazione Un server che esegue un database PostgreSQL e un Apache con diverse applicazioni php. L'accesso a db avviene tramite l'interfaccia di loopback. Il db contiene una tabella con lo username e l'hash della password SHA-512-CRYPT (...
posta 24.04.2016 - 02:56
1
risposta

Il dot è sicuro rispetto all'iniezione sql?

Sto modificando il modulo di ricerca di prestashop per poter cercare stringhe contenenti punti: . Prestashop utilizza le proprie funzioni di sanitizzazione contro la vulnerabilità di mysql injection (yeah ...) e usa un elenco di caratteri...
posta 01.12.2014 - 17:31
1
risposta

Ho ragione modificando l'algoritmo predefinito su un'app Web?

Numerosi clienti mi hanno detto che il mio suggerimento su come cambiare l'algoritmo su un'app Web non aumenta la sicurezza. Ho provato a ragionare che se i file non sono stati esposti, l'attaccante deve indovinare all'algoritmo. Qualche gior...
posta 13.01.2014 - 16:20