草庐IT

INJECT_EVENTS

全部标签

php - 如何防止PHP中的代码注入(inject)攻击?

我有点糊涂了,PHP函数那么多,有的用这个,有的用那个。有些人使用:htmlspecialchars()、htmlentities()、strip_tags()等哪个是正确的,你们通常使用什么?这是正确的吗(建议我一个更好的,如果有的话):$var=mysql_real_escape_string(htmlentities($_POST['username']));这条线可以防止MySQL注入(inject)和XSS攻击??顺便说一句,除了XSS攻击和MySQL注入(inject),还有什么需要注意的吗?编辑总结:如果我想向数据库中插入字符串,我不需要使用htmlentities,只需

php - 'events'的逐小时时间线显示 - mysql php

我已经用谷歌搜索了一段时间,但还没有找到任何好东西。我想做的是取mysql数据(下)并在每小时的时间轴中显示它,例如:任何人都有关于如何实现这一目标的任何好的链接或教程?不是在寻找一个确切的解决方案(尽管这有帮助),而是在寻找一些让我开始的方向。所以mysql数据库与php和jquery谢谢, 最佳答案 这些时间线/甘特图插件应该可以帮助您完成大部分工作,可能只需要设置JSON数据:dhtmlxScheduler(时间轴View)BluelinemediaTimelinePureCSSTimeline-MattBango(链接不再有

mysql - SQL 注入(inject)攻击 - 这是做什么的?

我在我的网站上检测到一些失败的SQL注入(inject)攻击。失败的查询格式如下:SELECT6106FROM(SELECTCOUNT(*),':sjw:1:ukt:1'xFROMinformation_schema.tablesGROUPBYx)':sjw:1:ukt:1'部分是特殊构造的,变量连接在一起以给出随机0或1等。我想知道这些查询有什么作用?数据库是MySQL。更新:这是注入(inject)的原始SQL:(SELECT6106FROM(SELECTCOUNT(*),CONCAT(CHAR(58,115,106,119,58),(SELECT(CASEWHEN(6106=61

php - 在哪里使用 mysql_real_escape_string 来防止 SQL 注入(inject)?

我遇到了一群黑客的麻烦。他们入侵了我客户的网站几次,我的客户变得更加生气:(我的客户丢失了他的数据库(有数百条记录),不得不输入所有:(现在我正在关注更多的介绍;固定文件权限更改了ftp和主机登录信息清除所有远程mysql访问现在正在处理SQL注入(inject)问题。我将mysql_real_escape_string添加到管理面板登录参数中。那么我还应该在哪里使用这个mysql_real_escape_string呢?我在网站上几乎没有电子邮件表格,我认为我不需要在那里添加...我有一个index.php作为主页。我应该为此页面做些什么来防止通过像index.php?somesql

mysql - 尽管 PHP 魔术引号成功 SQL 注入(inject)

我一直读到MagicQuotes根本无法阻止SQL注入(inject),但我无法理解为什么不能!例如,假设我们有以下查询:SELECT*FROMtablenameWHEREemail='$x';现在,如果用户输入$x='OR1=1--,查询将是:SELECT*FROMtablenameWHEREemail='\'OR1=1--';反斜杠将由MagicQuotes添加,不会造成任何损害!有没有一种方法我看不到用户可以在此处绕过MagicQuote插入? 最佳答案 诀窍通常是传递一个二进制值,以便反斜杠成为有效多字节字符的一部分。这是b

mysql - 必须转义哪些字符以防止(My)SQL 注入(inject)?

我正在使用MySQLAPI的函数mysql_real_escape_string()根据文档,它转义了以下字符:\0\n\r\'"\Z现在,我查看了OWASP.org的ESAPI安全库,在Python端口中它有以下代码(http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql.py):"""EncodesacharacterforMySQL."""lookup={0x00:"\\0",0x08:"\\b",0x09:"\\t",0x0a:"\\n",0x0d:"\\r",0x1a:"\\Z"

mysql - 难以猜测的 SQL 数据库表名和列名是否有助于防止 SQL 注入(inject)?

就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter寻求指导。关闭9年前。我刚遇到一位开发人员,他在他的MYSQL数据库中的每个表和列名前都加上下划线(例如_users、_name、_active)。当我质疑这种做法时,他说这有助于防止SQL注入(inject)攻击——我以前从未遇到过这种做法/建议。它如何帮助防止SQL注入(inject)攻击? 最佳答案 没有。他的想法

mysql - 网站已通过 SQL 注入(inject)被黑客入侵

最近我的网站通过SQL注入(inject)被黑了。黑客使用了以下查询获取我的数据库名称。我无法理解他们写的这个查询。查询:=-999.9%20UNION%20ALL%20SELECT%20concat(0x7e,0x27,Hex(cast(database()%20as%20char)),0x27,0x7e),0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--查询运行后,它显示一个整数结果,类似于“74545883”。您能解释一下查询的工作原理吗? 最佳答案

android - 没有找到 fragment dagger 2.11 的注入(inject)器

我有一个带有一个fragment的Activity。我正在尝试注入(inject)fragment,但我得到“没有为com.tsiro.dogvip.login.signin.SignInFrgmt找到注入(inject)器”异常。Activity模块:@Module(includes=BaseActivityModule.class)publicabstractclassLoginActivityModule{@PerFragment@ContributesAndroidInjector(modules=SignInFragmentModule.class)abstractSignI

Android Dagger 依赖注入(inject)在私有(private)字段上失败

我是dagger的新手(尽管我在使用Weld开发JavaEEWebApps时有使用DI的经验)。我要做的是将依赖项注入(inject)到一个类中。该字段是私有(private)的。Dagger然后抛出一个异常,说明它不能注入(inject)到私有(private)字段中。这是什么原因?毕竟可以使用反射写入私有(private)字段,即使在android上也是如此。如果我将该字段的可见性设置为私有(private)以外的其他内容,则注入(inject)似乎有效。 最佳答案 Dagger不支持私有(private)字段,但仍支持代码生成