Проверка на sql injection

@asus · Регистрация: 19.02.2010

Студворк — интернет-сервис помощи студентам

Всем привет!
подскажите пожалуйста, на каком софте можно проверит приложение на sql инъекцию?

З.Ы. нашел много чего вот только в качестве используются php... или это не имеет значения?

@korvin_ · 07.03.2016, 23:33

Сообщение от asus

подскажите пожалуйста, на каком софте можно проверит приложение на sql инъекцию?

Используй PreparedStatement и параметризованные запросы и не будет у тебя никаких SQL-инъекций.

@asus · 08.03.2016, 04:27 **[ТС]**

Сообщение от korvin_

Используй PreparedStatement и параметризованные запросы

у меня так и есть просто интересно было посмотреть на это...

@asus · 17.06.2016, 11:59 **[ТС]**

всем привет, все таки вопрос остался открытым...

@KEKCoGEN · 18.06.2016, 12:56

asus, вот тут есть пример инъекции для несанкционированного получения данных

@LAPD · 09.11.2017, 02:16

Здравствуйте.
Подскажите как здесь использовать mysql_real_escape_string() функцию для $id параметра, потом для $wmid и для $id ?
Вот оригинал с SQL Injection :

Кликните здесь для просмотра всего текста

<? include('checkcookie.php'); ?>
<h3>Блокировка доступа к сайту</h3>
<br>

<?
if($_POST["action"]!="")
{
$action=$_POST["action"];

if($action=="addip")
{
$ip=$_POST["ip"];
mysql_query("insert into tb_accessblock (ip) values ('$ip')");
echo "<font color=#00dd00>Добавлено</font>";
}
if($action=="addwmid")
{
$wmid=$_POST["wmid"];
mysql_query("insert into tb_accessblock (wmid) values ('$wmid')");
echo "<font color=#00dd00>Добавлено</font>";
}
if($action=="delete")
{
$id=$_POST["id"];
mysql_query("delete from tb_accessblock where id='$id'");
echo "<font color=#dd0000>Удалено</font>";
}
}
?>

<table width="100%">
<tr>
<th>Добавить IP-адрес или маску в черный список</th>
<th>Добавить WMID в черный список</th>
</tr>
<tr>
<td valign=top width="50%" align=center>

<form action="" method=post>
<b>Введите IP-адрес или маску:</b><br>
<input type=text value="" size=30 maxlength=15 name="ip"><br>
<input type=hidden value="addip" name="action">
<input type="submit" value="Добавить">
</form>

</td><td valign=top width="50%" align=center>

<form action="" method=post>
<b>Введите WMID:</b><br>
<input type=text value="" size=30 maxlength=12 name="wmid"><br>
<input type=hidden value="addwmid" name="action">
<input type="submit" value="Добавить">
</form>

</td></tr>
</table>

<table width="100%">
<tr>
<th>Список заблокированных IP-адресов</th>
<th>Список заблокированных WMID</th>
</tr>
<tr>
<td valign=top width="50%" align=center>
<table style="border:0px">
<?
$res=mysql_query("select * from tb_accessblock where ip!='' order by id asc");
while($row=mysql_fetch_array($res))
{
echo "<tr><td style="border:0px">".$row["ip"]."</td>";
?>
<td style="border:0px">
<form action="" method=post>
<input type="hidden" value="<?=$row["id"]?>" name="id">
<input type="hidden" value="delete" name="action">
<input type="submit" value="Удалить">
</form>
</td></tr>
<?
}
?>
</table>
</td><td valign=top width="50%" align=center>
<table style="border:0px">
<?
$res=mysql_query("select * from tb_accessblock where wmid!='' order by id asc");
while($row=mysql_fetch_array($res))
{
echo "<tr><td style="border:0px">".$row["wmid"]."</td>";
?>
<td style="border:0px">
<form action="" method=post>
<input type="hidden" value="<?=$row["id"]?>" name="id">
<input type="hidden" value="delete" name="action">
<input type="submit" value="Удалить">
</form>
</td></tr>
<?
}
?>
</table>
</td></tr>
</table>

Я не понял Ваших заумных строк так как слабо в этом соображаю.
Заранее признателен.

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом

@asus 89 / 89 / 20 Регистрация: 19.02.2010 Сообщений: 966

	Проверка на sql injection 07.03.2016, 14:03. Показов 2672. Ответов 5 Метки нет (Все метки) Всем привет! подскажите пожалуйста, на каком софте можно проверит приложение на sql инъекцию? З.Ы. нашел много чего вот только в качестве используются php... или это не имеет значения? 0

@asus 89 / 89 / 20 Регистрация: 19.02.2010 Сообщений: 966
	17.06.2016, 11:59 [ТС]
	всем привет, все таки вопрос остался открытым... 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	18.06.2016, 12:56
	asus, вот тут есть пример инъекции для несанкционированного получения данных 1

@LAPD 1 / 1 / 0 Регистрация: 16.03.2017 Сообщений: 54
	09.11.2017, 02:16
	Здравствуйте. Подскажите как здесь использовать mysql_real_escape_string() функцию для $id параметра, потом для $wmid и для $id ? Вот оригинал с SQL Injection : Кликните здесь для просмотра всего текста <? include('checkcookie.php'); ?> <h3>Блокировка доступа к сайту</h3> <br> <? if($_POST["action"]!="") { $action=$_POST["action"]; if($action=="addip") { $ip=$_POST["ip"]; mysql_query("insert into tb_accessblock (ip) values ('$ip')"); echo "<font color=#00dd00>Добавлено</font>"; } if($action=="addwmid") { $wmid=$_POST["wmid"]; mysql_query("insert into tb_accessblock (wmid) values ('$wmid')"); echo "<font color=#00dd00>Добавлено</font>"; } if($action=="delete") { $id=$_POST["id"]; mysql_query("delete from tb_accessblock where id='$id'"); echo "<font color=#dd0000>Удалено</font>"; } } ?> <table width="100%"> <tr> <th>Добавить IP-адрес или маску в черный список</th> <th>Добавить WMID в черный список</th> </tr> <tr> <td valign=top width="50%" align=center> <form action="" method=post> <b>Введите IP-адрес или маску:</b><br> <input type=text value="" size=30 maxlength=15 name="ip"><br> <input type=hidden value="addip" name="action"> <input type="submit" value="Добавить"> </form> </td><td valign=top width="50%" align=center> <form action="" method=post> <b>Введите WMID:</b><br> <input type=text value="" size=30 maxlength=12 name="wmid"><br> <input type=hidden value="addwmid" name="action"> <input type="submit" value="Добавить"> </form> </td></tr> </table> <table width="100%"> <tr> <th>Список заблокированных IP-адресов</th> <th>Список заблокированных WMID</th> </tr> <tr> <td valign=top width="50%" align=center> <table style="border:0px"> <? $res=mysql_query("select * from tb_accessblock where ip!='' order by id asc"); while($row=mysql_fetch_array($res)) { echo "<tr><td style="border:0px">".$row["ip"]."</td>"; ?> <td style="border:0px"> <form action="" method=post> <input type="hidden" value="<?=$row["id"]?>" name="id"> <input type="hidden" value="delete" name="action"> <input type="submit" value="Удалить"> </form> </td></tr> <? } ?> </table> </td><td valign=top width="50%" align=center> <table style="border:0px"> <? $res=mysql_query("select * from tb_accessblock where wmid!='' order by id asc"); while($row=mysql_fetch_array($res)) { echo "<tr><td style="border:0px">".$row["wmid"]."</td>"; ?> <td style="border:0px"> <form action="" method=post> <input type="hidden" value="<?=$row["id"]?>" name="id"> <input type="hidden" value="delete" name="action"> <input type="submit" value="Удалить"> </form> </td></tr> <? } ?> </table> </td></tr> </table> Я не понял Ваших заумных строк так как слабо в этом соображаю. Заранее признателен. 0