如何解决“潜在SQL注入”风险?
作者:navigator 提问时间:11/9/2022
我正在使用 Visual Code Grepper 来分析我们的代码。在代码中的几乎每个 SQL 语句中,它都表示存在“SQL 注入”风险。甚至是传递参数的代码行。 请看下面的这个例子: 严重:潜...
安全 问答列表
Node.JS - URL 参数中的 SQL 注入?
作者:Tibia Cams 提问时间:11/13/2022
我正在尝试学习 Node.js,我目前正在制作一个 Express 应用程序(使用 ejs),该应用程序将从 MySQL 数据库返回值,具体取决于用户访问的 URL。 例如,访问将列出 db 表中的...
保护 AbpServiceProxies/GetAll
作者:Firas 提问时间:11/17/2022
问题描述 未经身份验证的用户可以通过调用此 API 访问该 API 的所有路由 (URL) (包括要使用的参数) ,该 API 不需要任何令牌且不受保护。 这将打开应用程序以进行轻松攻击。 您能否告...
此函数是否适用于一般清理数据库查询变量?
作者:adrianTNT 提问时间:11/26/2022
我知道大多数人都说只使用准备好的语句,但我有一个网站,里面有很多现有的查询,我需要通过函数方法清理变量。mysqli_real_escape_string() 此外,说的php手册是一个可以接受的替...
用于枚举数据库中可用表的 SQL 注入查询
作者:Robot110010 提问时间:11/29/2022
我们有一个练习,正在努力想出一个sql注入,以从mySQL中的数据库中查找更多数据。 以下是我们已经走了多远: mySQL网页结果 在上图中,您可以看到我们已经设法让数据库泄露了 userid、u...
隐藏服务器横幅 - 空或没有构造信息的某个名称?
作者:Milind Deore 提问时间:12/5/2022
我们经常在配置中隐藏 /,以防止服务器横幅攻击。ServerNameServerSignaturehttpd.conf 我们应该将其保留为空还是显示一些不提供有关服务器配置信息的名称?例: Ser...
为什么 Google 在前面加上 while(1);到他们的 JSON 响应?
作者:Jess 提问时间:4/20/2010
为什么 Google 会在他们的(私有)JSON 响应之前添加?while(1); 例如,以下是在 Google 日历中开启和关闭日历时的响应: while (1); [ ['u', [ ['...
保护不需要身份验证的 API 的方法,只能从一个预定义的使用者调用
作者:john bowlee 提问时间:12/11/2022
我目前开发了一个后端应用程序,它具有一些重要的功能。我想从前端使用后端终结点,但我想确保只有前端终结点调用后端终结点,而不调用其他终结点。目前,任何访问我的网络应用程序的人都可以利用这些功能(我不需要...
我能否通过转义单引号并用单引号括住用户输入来防止 SQL 注入?
作者:Patrick 提问时间:9/26/2008
我意识到参数化 SQL 查询是在构建包含用户输入的查询时清理用户输入的最佳方法,但我想知道接受用户输入并转义任何单引号并用单引号括起来整个字符串有什么问题。代码如下: sSanitizedInput...
尝试修复源代码漏洞(CWE: 113);类别: 输入验证和表示 - 标头操作: Cookie
作者:user578219 提问时间:12/2/2022
我正在尝试修复我的 react 前端应用程序代码上的漏洞(CWE:113,详细信息在这里)。 也很难从工具的漏洞扫描消息中找到(在*.js文件的第 1 行上说): VULNERABILITY IN...