Als «sql-injection» getaggte Fragen

SQL Injection ist eine Code-Injection-Technik, mit der datengesteuerte Anwendungen angegriffen werden, bei der böswillige SQL-Anweisungen zur Ausführung in ein Eingabefeld eingefügt werden (z. B. um den Datenbankinhalt an den Angreifer zu senden).

139
Kann ich mich vor SQL-Injection schützen, indem ich einfache Anführungszeichen und umgebende Benutzereingaben mit einfachen Anführungszeichen verbinde?

Mir ist klar, dass parametrisierte SQL-Abfragen die optimale Methode sind, um Benutzereingaben zu bereinigen, wenn Abfragen erstellt werden, die Benutzereingaben enthalten. Ich frage mich jedoch, was falsch daran ist, Benutzereingaben zu übernehmen und einfache Anführungszeichen zu umgehen und die...

109
Vermeiden der SQL-Injection ohne Parameter

Wir haben hier eine weitere Diskussion über die Verwendung parametrisierter SQL-Abfragen in unserem Code. Wir haben zwei Seiten in der Diskussion: Ich und einige andere, die sagen, wir sollten immer Parameter verwenden, um uns vor SQL-Injektionen zu schützen, und die anderen, die es nicht für...