Задать вопрос
@Mansur05

Как защищаются от SQL-инъекций?

Какие способы защиты от sql-инъекций используют в нынешнее время?
  • Вопрос задан
  • 487 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
Простой способ - фильтр входящих данных.
Практически каждый DB драйвер сейчас имеет встроенные средства для экранирования опасных символов, следовательно все, что приходит от пользователя, можно фильтровать готовыми функциями.

Вкратце, пример на PHP для mysqli, где $input - что пришло от юзера, например через форму или иным образом

Если без защиты выглядит так
$con=mysqli_connect("localhost","db_user","db_password","db_name");
$sql="select * from table where id=$input"
mysqli_query($con,$sql);


То с защитой, например так:
$con=mysqli_connect("localhost","db_user","db_password","db_name");
$sql = $mysqli->real_escape_string("select * from table where id=$input");
mysqli_query($con,$sql);
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
1. Смотрите здесь правила защиты от внешних атак.
2. Непосредственно в коде: regex-фильтрация входных данных и подготовленные выражения для SQL-запросов.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы