草庐IT

Inject

全部标签

mongodb - Python 中的 NoSql 注入(inject)

在尝试提出这个问题时,我得到了thisone它使用的是Java,并且在答案中给出了一个Ruby示例,似乎只有在使用Json时才会发生注入(inject)?因为我有一个expose,我将尝试在NoSQL和SQL之间进行比较,我想说:开心一点,nosql没有sql注入(inject),因为它不是sql...你能解释一下吗:使用Python驱动程序(pymongo)时如何发生sql注入(inject)。如何避免。使用登录表单中的评论使用旧方式sql注入(inject)的比较。 最佳答案 MongoDB中的注入(inject)有几个问题:$
mongodbPythoninjectsectioncodesql-injectionnosql

java - spring-data-mongodb 拦截查询并注入(inject)谓词或规范

环境:spring-data-mongo:1.7.0.RC1mongo-java-驱动程序:3.2.2文档:@Document(collection="products")publicclassProduct{@IdprivateStringsid;privateStringname;privateLongvendor;(...)}存储库:publicinterfaceProductRepositoryextendsMongoRepository{ProductfindByName(StringproductName);}我的目标是拦截对Product集合执行的任何查询并添加谓词或规范
spring-data-mongodbmongodbcodesectionProductjavaspringspring-data

php - 我试过 SQL 注入(inject)我的代码,其中 'technically' 应该是易受攻击的,但它不会工作

我一直被告知我的代码容易受到SQL注入(inject)的攻击,但是我已经从mysql转换为mysqli扩展,并且我已经尝试对自己进行SQL注入(inject)攻击,但它们似乎都不起作用所以我的问题是......我的代码真的安全吗?如果不安全,为什么SQL注入(inject)不起作用?window.alert('AdminRegistrationSuccessful')window.location.href='adminhome.php';");}else{echo("window.alert('SorryYouarealreadyaregistereduser!')window.lo
technicallyamp39codemysqliphpmysqlsql-injection

mysql - 防止sql注入(inject)mysqldb python3.6

这个问题在这里已经有了答案:Python:bestpracticeandsecurestwaytoconnecttoMySQLandexecutequeries(2个答案)关闭5年前。这是我使用MySQLdb和python3.6的脚本importMySQLdb#startconnectiondb=MySQLdb.connect("localhost","root","asdf","projecten")#createcursorc=db.cursor()#insertmultiplerecordsusingatuplecities=[('Boston','MA',600000),('C
mysqldbpython3section39noticemysqlpython-3.6

php - 使用mysqli防止sql注入(inject),如何设置NULL或CURRENT_DATE?

在mysqliphp库中,在bind_param()方法中,将参数绑定(bind)到查询。bind_param()的第一个参数是types,这是一个字符串,其中每个字符代表传递的数据类型,例如,'s'代表字符串。$query="updateuserssetupdate_usr_id=?whereuser_id=?";$arg1=($update_usr_id=$usr_id)?'2011-01-01':'CURRENT_DATE';$arg2=$update_usr_id;如何将NULL或CURRENT_DATE表示为参数?例如,尝试将“CURRENT_DATE”作为字符串,但发布为“
CURRENT_DATECURRENTcodesectionphpmysqlmysqliprepared-statementbindparam

php - 我怎样才能使这个查询防注入(inject)? (PHP)

要点我想执行一个SQL查询,该查询依赖于我的GET中可变数量的参数,而不会受到SQL注入(inject)的攻击。参数我的URL可以这样构成:https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c或者像这样:https://www.example.com/index.php?param1=blah1,param2=blah2,param3=a,b,c,d,e,f,g换句话说,param3可以有可变数量的逗号分隔参数a、b、c等。白名单我检查以确保a、b、c等中的所有参数都正确。在我执行查询之前在批准
injectphpcodestrongparammysqlsqlpdosql-injection

javascript - 使用 LIKE 构建查询是否安全,不受 SQL 注入(inject)的影响?

我的Express应用程序中有一个端点可以接受POST数据(json)。我想使用这些数据安全地查询MySQL数据库。转义和更改我的字符串是否会使我容易受到攻击?我需要更改来自请求的字符串,因为我不想在LIKE子句的结束单引号之前插入“%”。varsearchTerm=mysql.escape(req.body.firstName)varnewStr="'"+searchTerm.substring(1,searchTerm.length-1)+"%'"//Example:'alex'=>'alex%'我的查询是:SELECT*FROMtblWHEREcolLIKE"+newStr+"O
javascriptinjectsectioncodesearchTermmysqlsqlexpressnode-mysql

php - 如何防止sql注入(inject)?无需修改 SQL 查询

这个问题在这里已经有了答案:HowcanIpreventSQLinjectioninPHP?(27个答案)关闭6年前。如果用户输入未经修改就插入到SQL查询中,则应用程序容易受到SQL注入(inject)攻击,如以下示例所示:$unsafe_variable=$_POST['user_input'];mysql_query("INSERTINTO`table`(`column`)VALUES('$unsafe_variable')");那是因为用户可以输入类似值的东西');DROPTABLEtable;--,查询变为:INSERTINTO`table`(`column`)VALUES(
injectphpsectionnoticetablemysqldatabase

php - 可能从日期字符串 Select 查询注入(inject)

我有一个有点奇怪的问题。我的页面包含一个刷新页面并调用PHP变量的html链接。此变量将日期字符串附加到url字符串,该字符串被馈送到MySQL查询中,该查询获取与该日期匹配的记录。我认为这会导致注入(inject),因为它有时会从数据库中删除用户!我知道在超链接中使用“#”可能存在安全问题,但我想知道发生了什么。这也会对不同的浏览器产生不同的影响,因为它是如何使用javascript的。被删除的用户似乎只发生在某些人的计算机上。PHP代码计算从现在起三天后的时间戳,然后将其转换为SQL格式:$ts_threeDays=mktime(1,0,0,date('m'),date('d')+
Selectinjectcodesection39phpsqlmysqlsql-injection

mysql - 什么是二级 SQL 注入(inject)

什么是二级SQL注入(inject)..这是引用问题Useofparametersformysql_query..其中一个答案的一部分有这个词...... 最佳答案 我不太确定,但我认为它在帖子中“定义”了:Useofparametersformysql_query摘录(见第2点):magic_quotes_gpcautomaticallyescapesthingsyoureceiveinrequestsfromclients...butitcannotdetectso-calledsecond-levelinjections:Yo
injectmysqlsectionstackoverflowblockquotesql-injection
91929394959697