Domande con tag 'sql-injection'

5
risposte

L'hashing potrebbe impedire l'iniezione SQL?

Per un capriccio di recente ho deciso di lanciare il primo sito web corretto che ho creato sul mio server web locale che utilizzo per lo sviluppo. Ho pensato che sarebbe stato un ottimo ambiente lanciare qualche SQL a iniezione perché so che ci...
posta 19.12.2016 - 16:41
4
risposte

Utilizzo di una shell dall'iniezione SQL

A quanto ho capito, l'iniezione SQL dovrebbe consentire solo la manipolazione e il recupero dei dati, niente di più. Assumendo che non si ottengano password, come può essere utilizzata una semplice iniezione SQL per sfruttare una shell? Ho vi...
posta 07.09.2011 - 21:48
4
risposte

In che modo Anonymous ha utilizzato ASCII UTF-16 per ingannare l'escape di PHP?

Alcuni mesi fa, Anonymous ha abbattuto un sito di pornografia infantile usando SQL-injection. Ho letto in questo articolo che Anonymous affermava che "il server stava usando PHP hardened con escaping", ma erano in grado di "bypassarlo con la c...
posta 02.02.2012 - 21:16
6
risposte

La rimozione di spazi in una stringa protegge dall'iniezione SQL?

Ero curioso di sapere se è possibile proteggere da un attacco di SQL injection rimuovendo tutti gli spazi da un input di String? Ho letto su SQL Injection all'indirizzo OWASP , ma non menzionano nulla sulla rimozione degli spazi , quindi ero...
posta 21.06.2016 - 06:47
11
risposte

È sicuro visualizzare errori di query MySQL nella pagina Web se qualcosa è andato storto?

È sicuro visualizzare la query dettagliata nella pagina web di errore con i dettagli seguenti? **INSERT statement conflicted with the FOREIGN KEY constraint "ABC". The conflict occurred in database ** The statement has been terminated.[INSE...
posta 30.09.2016 - 07:37
6
risposte

L'iniezione SQL può portare all'esecuzione di codice in modalità remota?

È possibile eseguire del codice (ad esempio codice PHP su un'applicazione Web basata su PHP) sul server tramite SQL injection? Se sì, come esattamente? Comprendo che il campo senza escape può portare a SQL injection e un utente malintenzionat...
posta 29.12.2014 - 17:12
3
risposte

Iniezione SQL con AND 1 = 1

Spiegare il significato di " AND 1 = 1 " in un attacco di SQL injection. È da un esercizio della mia università. Per es. select * from user where id = 'smith'' AND 1=1;-- and birthdate = 1970; o select * from user where id = 'smith'...
posta 08.11.2011 - 22:36
2
risposte

exploit di caratteri multibyte - PHP / MySQL

Qualcuno potrebbe indicarmi un collegamento con alcune informazioni sugli exploit di caratteri multibyte per MySQL? Un amico li ha portati alla mia attenzione, ma non sono riuscito a trovare molte informazioni su Internet.     
posta 20.12.2011 - 07:08
4
risposte

Le stored procedure impediscono l'SQL Injection in PostgreSQL?

È vero che le stored procedure impediranno l'iniezione di database? Ho fatto una piccola ricerca e ho scoperto che SQL-Server, Oracle e MySQL non sono sicuri contro le iniezioni SQL se usiamo solo stored procedure. Tuttavia, questo problema non...
posta 19.11.2010 - 23:44
4
risposte

Che tipo di attacchi possono essere usati contro MongoDB?

Sto iniziando a imparare MongoDB ed ero curioso di sapere se fosse suscettibile a qualche tipo di attacco di iniezione simile a SQLi . A causa della natura del DB, non credo che pensi possa essere inserito ma ... Quale altro tipo di attacco...
posta 07.11.2012 - 17:08