Preguntas con etiqueta 'sql-injection'

preguntas con etiqueta
4
respuestas

¿Estas inyecciones de SQL son una mala idea?

Leyendo Evitando ataques de inyección de SQL en procedimientos almacenados comencé este debate entre mi pareja y yo --- y buscar el enfoque correcto no es tan sencillo. No soy un experto en seguridad, pero ¿qué hace una persona cuando obser...
hecha 23.12.2013 - 18:10
4
respuestas

¿Reemplazar todos los apóstrofes con dos apóstrofes es suficiente para evitar la inyección de SQL en MSSQL?

Estoy trabajando en un sitio web que no usa parámetros en consultas SQL. Todas las consultas son ad hoc y la forma en que están haciendo la validación de entrada me parece buena, no puedo dividirla para hacer Inyección SQL. Están validando la...
hecha 28.09.2011 - 12:20
3
respuestas

¿Tiene SQL alguna debilidad inherente?

¿Un profesor dijo que la inyección de SQL tiene un nombre erróneo porque en realidad se produce desde el programa que genera el SQL (por ejemplo, Perl, PHP, etc.) y me pregunto si el SQL es lo suficientemente "complejo" para tener alguna vulnera...
hecha 02.10.2012 - 05:49
4
respuestas

¿Las citas de escape me protegen de la inyección de SQL?

Una pregunta de novato aquí. Acabo de leer una breve introducción a la inyección de SQL en enlace Dice encontrar una ruta de solicitud GET en la aplicación PHP para ver si es vulnerable o no. Tengo un sitio web, con la siguiente URL d...
hecha 08.05.2013 - 02:07
1
respuesta

es 'mysql_real_escape_string' suficiente

Recientemente en stackoverflow he visto muchas discusiones en las que mysql_*_escape_string está en desuso y, en su lugar, recomienda PDO. La forma en que lo he estado haciendo es permitir solo letras y ' en el campo name ,...
hecha 30.12.2013 - 12:59
1
respuesta

Cómo evitar la inyección ASCII Encoded / Binary String SQL en CodeIgniter

He estado usando CodeIgniter durante dos años y estoy profundizando en las pruebas de penetración. Creo que ActiveRecord hace un buen trabajo en la prevención de inyecciones de SQL, pero ¿hay alguna posibilidad de pasar por alto el sistema de fi...
hecha 09.10.2013 - 09:47
1
respuesta

Condición extraña en el punto de inyección de SQL oculto, substr () es válido para exactamente dos caracteres

Estoy explotando un punto de inyección de SQL oculto, que toma una variable como nombre de usuario y luego verifica si el nombre de usuario existe en una tabla. (Se está ejecutando MySQL 5.X con PHP) Así que estoy usando esto para recupera...
hecha 07.02.2014 - 14:31
3
respuestas

¿Es esta conexión de base de datos Perl vulnerable a la inyección SQL?

Tengo esta consulta de la base de datos Perl (reducida), y me pregunto si esto puede ser explotado de alguna manera. Esto es un desafío, así que sé que las cosas podrían hacerse de manera diferente, la tarea es explotar esto. Que yo sepa, uti...
hecha 18.12.2017 - 14:03
2
respuestas

Estoy tratando de encontrar cómo explotar mi código SQL

Estoy tratando de encontrar una manera de explotar mi procedimiento almacenado para probar problemas de seguridad, específicamente he estado probando la inyección basada en el truncamiento de SQL, pero no tuve éxito hasta ahora; No creo que sea...
hecha 17.03.2011 - 10:32
3
respuestas

Inyección de SQL - Encuentre la plataforma SQL

¿Hay alguna consulta que pueda usar para saber qué plataforma SQL está usando un sitio web? (Oracle - MySQL - MSSQL - PostgreSQL - Ingres ....)     
hecha 19.07.2015 - 22:31