প্রশ্ন ট্যাগ «sql-injection»

এই প্রশ্নের উত্তরগুলি একটি সম্প্রদায়ের প্রচেষ্টা । এই পোস্টটি উন্নত করতে বিদ্যমান উত্তরগুলি সম্পাদনা করুন। এটি বর্তমানে নতুন উত্তর বা মিথস্ক্রিয়া গ্রহণ করছে না। Over этот вопрос есть ответы на স্ট্যাক ওভারফ্লো на русском : QL образом избежать এসকিউএল-в в পিএইচপি? যদি কোনও এসকিউএল কোয়েরিতে কোনও পরিবর্তন ছাড়াই ব্যবহারকারীর ইনপুট …

2773 php  mysql  sql  security  sql-injection 

এসকিউএল ইনজেকশন এবং এক্সএসএস আক্রমণগুলির জন্য ব্যবহারকারী ইনপুটটি স্যানিটাইজ করার জন্য ভাল কাজ করে এমন কোনও ক্যাচল ফাংশন রয়েছে, যখন এখনও নির্দিষ্ট ধরণের এইচটিএমএল ট্যাগকে অনুমতি দেয়?

1124 php  security  xss  sql-injection  user-input 

শুধু তাকানো: (সূত্র: https://xkcd.com/327/ ) এই এসকিউএল কী করে: Robert'); DROP TABLE STUDENTS; -- আমি উভয়ই জানি 'এবং --মন্তব্যের জন্যও, তবে DROPএটি একই লাইনের অংশ হওয়ায় শব্দটিও তেমনভাবে মন্তব্য করা যায় না?

1092 security  validation  sql-injection 

ধরা যাক আমার কাছে এর মতো কোড রয়েছে: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); পিডিও নথি বলছে: প্রস্তুত বিবৃতিগুলির পরামিতিগুলি উদ্ধৃত করার দরকার নেই; ড্রাইভার এটি আপনার জন্য পরিচালনা করে। এসকিউএল ইনজেকশনগুলি এড়াতে আমার যা করা দরকার …

661 php  security  pdo  sql-injection 

mysql_real_escape_string()ফাংশন ব্যবহার করার পরেও কি কোনও এসকিউএল ইঞ্জেকশন সম্ভাবনা রয়েছে ? এই নমুনা পরিস্থিতি বিবেচনা করুন। এসকিউএল এইভাবে পিএইচপিতে নির্মিত হয়: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; আমি অসংখ্য মানুষ আমাকে বলতে শুনেছি যে এর মতো কোডটি এখনও বিপজ্জনক এবং …

645 php  mysql  sql  security  sql-injection 

কীভাবে প্রস্তুত বিবৃতিগুলি এসকিউএল ইঞ্জেকশন আক্রমণ প্রতিরোধ করতে আমাদের সহায়তা করে ? উইকিপিডিয়া বলেছেন: প্রস্তুত বিবৃতিগুলি এসকিউএল ইনজেকশনের বিরুদ্ধে স্থিতিস্থাপক, কারণ প্যারামিটার মানগুলি, যা পরে অন্য একটি প্রোটোকল ব্যবহার করে প্রেরণ করা হয়, সঠিকভাবে পালানোর প্রয়োজন হয় না। যদি মূল বিবৃতি টেম্পলেটটি বাহ্যিক ইনপুট থেকে প্রাপ্ত না হয় তবে এসকিউএল …

172 sql  security  sql-injection  prepared-statement 

আমি জাভাতে কিছু এন্টি এসকিএল ইঞ্জেকশন লাগানোর চেষ্টা করছি এবং "রিপ্লেসমেন্ট" স্ট্রিং ফাংশনটি নিয়ে কাজ করা খুব কঠিন মনে হচ্ছে। পরিশেষে আমি একটি ফাংশন যা যেকোনো বিদ্যমান রূপান্তর করবে প্রয়োজন \থেকে \\, কোনো "থেকে \"কোন 'থেকে \', এবং যে কোনো \nজন্য \\nতাই STRING কখন মাইএসকিউএল এসকিউএল ইনজেকশনও দ্বারা মূল্যায়ন করা …

146 java  sql  regex  escaping  sql-injection 

আমি বুঝতে পেরেছি যে প্যারামিটারাইজড এসকিউএল কোয়েরিগুলি ব্যবহারকারী ইনপুট রয়েছে এমন প্রশ্নের নির্মাণের সময় ব্যবহারকারীর ইনপুটকে স্যানিটাইজ করার সর্বোত্তম উপায়, তবে আমি ভাবছি যে ব্যবহারকারী ইনপুট নেওয়া এবং কোনও একক উদ্ধৃতি থেকে বেরিয়ে আসা এবং একক উদ্ধৃতি সহ পুরো স্ট্রিংকে ঘিরে is কোডটি এখানে: sSanitizedInput = "'" & Replace(sInput, "'", …

139 sql  security  sql-server-2000  sql-injection  sanitization 

আমি জানি যে প্রস্তুতিমূলক স্টেটমেন্টগুলি এসকিউএল ইনজেকশন এড়ানো / প্রতিরোধ করে। কীভাবে তা করে? প্রিপেইডস্টেটমেন্টস ব্যবহার করে নির্মিত চূড়ান্ত ফর্ম ক্যোয়ারী কি স্ট্রিং হবে না অন্যথায়?

122 java  sql  jdbc  prepared-statement  sql-injection 

এর আগে আজ ওয়েব অ্যাপ্লিকেশনগুলিতে ইনপুট বৈধতা কৌশল সম্পর্কিত একটি প্রশ্ন জিজ্ঞাসা করা হয়েছিল । শীর্ষ উত্তর, লেখার সময়ে, এ প্রস্তাব দেওয়া PHPমাত্র ব্যবহার htmlspecialcharsএবং mysql_real_escape_string। আমার প্রশ্ন: এটি কি সর্বদা যথেষ্ট? আমাদের আরও জানা উচিত? এই ফাংশনগুলি কোথায় ভেঙে যায়?

116 php  security  xss  sql-injection 

আমি ডাটাবেস নিয়ে কাজ করতে খুব নতুন। এখন আমি লিখতে পারি SELECT, UPDATE, DELETE, এবং INSERTকমান্ড। তবে আমি অনেক ফোরাম দেখেছি যেখানে আমরা লিখতে পছন্দ করি: SELECT empSalary from employee where salary = @salary ...পরিবর্তে: SELECT empSalary from employee where salary = txtSalary.Text কেন আমরা সর্বদা পরামিতিগুলি ব্যবহার করতে পছন্দ …

114 sql  sql-server  sql-injection 

নিরিখে এসকিউএল ইনজেকশন , আমি সম্পূর্ণভাবে parameterize প্রয়োজনীয়তা বুঝতে stringপরামিতি; এটি বইয়ের প্রাচীন কৌশলগুলির মধ্যে একটি। কিন্তু কখন প্যারামিটারাইজ না করা ন্যায়সঙ্গত হতে পারে SqlCommand? প্যারামিটারাইজ না করার জন্য কোনও ডেটা ধরণের কি "নিরাপদ" হিসাবে বিবেচিত হয়? উদাহরণস্বরূপ: আমি নিজেকে এসকিউএল বিশেষজ্ঞের কাছাকাছি কোথাও বিবেচনা করি না , তবে এসকিউএল …

113 c#  sql  sql-injection  sqlcommand  parameterized-query 

আমাদের কোডে প্যারামিট্রাইজড এসকিএল কোয়েরি ব্যবহারের বিষয়ে আমরা এখানে অন্য আলোচনা করছি। আমি এবং আলোচনার দুটি পক্ষ রয়েছে: আমি এবং কিছু অন্যান্য যারা বলে যে আমাদের বরাবর স্কেল ইঞ্জেকশনগুলির বিরুদ্ধে সুরক্ষার জন্য পরামিতিগুলি ব্যবহার করা উচিত এবং অন্যান্য লোকেরা যা এটি প্রয়োজনীয় বলে মনে করে না। পরিবর্তে তারা স্কিল ইঞ্জেকশনগুলি …

109 c#  asp.net  sql-server  sql-injection 

আমি বুঝতে পারি যে আপনার মূলত এসকিউএল ইনজেকশনের সুযোগের কারণে কোনও ফর্ম থেকে ব্যবহারকারীর ইনপুটটি কখনই বিশ্বাস করা উচিত নয়। তবে, এটি কি এমন কোনও ফর্মের জন্যও প্রযোজ্য যেখানে একমাত্র ইনপুটটি ড্রপডাউন (গুলি) থেকে (নীচে দেখুন)? আমি $_POST['size']একটি সেশনে সেভ করছি যা তারপরে বিভিন্ন ডাটাবেসগুলি (একটি mysqliসিলেক্ট ক্যোয়ারী সহ) জিজ্ঞাসা …

97 php  mysql  mysqli  sql-injection 

পিএইচপি যেভাবে তাদের বিরুদ্ধে সুরক্ষিত বিবৃতি প্রস্তুত করেছিল, নোড.জেএস (সর্বাধিক মডিউল সহ) এসকিউএল ইঞ্জেকশনগুলি প্রতিরোধ করা কি সম্ভব? যদি তাই হয়, কিভাবে? যদি তা না হয় তবে কয়েকটি উদাহরণ কী যা আমার দেওয়া কোড বাইপাস করতে পারে (নীচে দেখুন)। কিছু প্রসঙ্গ: নোড-মাইএসকিএল মডিউলটি ব্যবহার করে নোড.জেএস + মাইএসকিএল সমন্বিত একটি …

88 javascript  mysql  node.js  sql-injection  node-mysql