PHP और MySQLi का उपयोग करना मेरे पास 4 HTML 5 ड्रॉपडाउन चयन सूची इनपुट के साथ एक साधारण रूप है। अब सोच रहा है कि मुझे अभी भी अपने डेटाबेस को सुरक्षित करने के लिए तैयार वक्तव्य का उपयोग करना है? क्या मैं अभी भी एसक्यूएल इंजेक्शन मुद्दों के जोखिम में हूं? या इस प्रकार के इनपुट का उपयोग करने के लिए कोई अन्य प्रकार का जोखिम है। धन्यवादक्या मुझे अभी भी तैयार वक्तव्य का उपयोग करने की आवश्यकता है
उत्तर
आप इंजेक्शन हमले के लिए अभी भी खुले हैं क्योंकि आपके चयन बॉक्स के माध्यम से डाले गए मान को अंतिम उपयोगकर्ता द्वारा आसानी से संशोधित किया जा सकता है।
यदि आपके पास एक अच्छी सत्यापन सर्वर पक्ष है, तो तैयार किए गए कथन के बिना इसे काम करना होगा।
अच्छा के साथ मैं कुछ इस तरह मतलब है:
$array = Array("all", "your", "possible", "values", "from", "Select boxes");
if(in_array ($_POST['selectbox'], $array)){
//Mysql statements etc....
}
सीधे डालने उपयोगकर्ता इनपुट एक अच्छा विचार नहीं है। आपको कभी भी अंतिम उपयोगकर्ता पर भरोसा नहीं करना चाहिए!
प्रश्न फिलिप को संपादित करने और जवाब देने के लिए धन्यवाद। ईमानदारी से पाठ या ईमेल जैसे इनपुट पर एसक्यूएल इंजेक्शन करना मुझे समझ में आता है लेकिन मुझे समझ में नहीं आ रहा है कि चेकबॉक्स रेडियो और चयन बॉक्स जैसे इनपुट कैसे हैक किए जा सकते हैं! – Suffii
आपकी साइट को चोट पहुंचाने वाले किसी व्यक्ति के लिए: चयन बॉक्स के माध्यम से मूल्यों को संशोधित करना पाठ इनपुट फ़ील्ड के माध्यम से इसे जितना आसान है उतना आसान है। –
ज़रूर लेकिन मुझे 3 और मिनट इंतजार करना है! उत्तर – Suffii
- 1. तैयार वक्तव्य - पंक्तियों की संख्या
- 2. स्थैतिक पुस्तकालय, लेकिन मुझे अभी भी हेडर की आवश्यकता है?
- 3. तैयार वक्तव्य पर वक्तव्य का उपयोग कब करें?
- 4. क्या मुझे अभी भी एक सीएसएस स्प्राइट में छवियों को पैड करने की आवश्यकता है?
- 5. क्या मुझे अभी भी HTML5 में टाइप = "मान" शामिल करने की आवश्यकता है?
- 6. क्या हमें अभी भी इटरेटर डिजाइन पैटर्न की आवश्यकता है?
- 7. पीडीओ तैयार वक्तव्य
- 8. क्या हमें अभी भी रिचटर के AsyncEnumerator की आवश्यकता है?
- 9. मुझे Adapter.notifyDataSetChanged() का उपयोग करने की आवश्यकता क्यों नहीं है?
- 10. जावास्क्रिप्ट और AJAX के साथ, क्या मुझे अभी भी HTML <form> टैग की आवश्यकता है और क्या मुझे अभी भी "सबमिट" बटन का उपयोग कर सर्वर पर फ़ॉर्म सबमिट करने की आवश्यकता है?
- 11. पीडीओ तैयार वक्तव्य - NULLs
- 12. क्या मुझे अभी भी सिल्वरलाइट/एक्सबीएपी
- 13. क्या मुझे कार्य का निपटान करने की आवश्यकता है?
- 14. क्या मुझे अभी भी स्रोत की आवश्यकता है: Gemfile में gemcutter?
- 15. MySQLi तैयार वक्तव्य और लेनदेन
- 16. यदि ओपनआईडी, मुझे अभी भी
- 17. क्या मुझे -D_REENTRANT -pthreads की आवश्यकता है?
- 18. पीएचपी ::: तैयार वक्तव्य ::: freeresult() ::: पास()
- 19. , x86-64 को अभी भी स्थानान्तरण की आवश्यकता क्यों है?
- 20. तैयार वक्तव्य बनाम संग्रहीत प्रक्रिया
- 21. तैयार वक्तव्य और जेडीबीसी ड्राइवर्स
- 22. हमें अभी भी जेनरेट कोड की आवश्यकता क्यों है?
- 23. यदि आप एसएसएल पर हैं तो क्या आपको अभी भी पाचन प्रमाणीकरण का उपयोग करने की आवश्यकता है?
- 24. क्या किसी को अभी भी जीसीसी के साथ संकलन करते समय -पीपीआईसी का उपयोग करने की आवश्यकता है?
- 25. क्या मुझे jquery.ui.js का उपयोग करने के लिए jquery संस्करण फ़ाइल शामिल करने की आवश्यकता है?
- 26. क्या मुझे अभी भी आईबीओलेट गुणों को देखने के लिए सेट करने की ज़रूरत है। एडीसी
- 27. अभी भी सीवीएस का उपयोग करने के किसी भी कारण?
- 28. क्या मुझे अभी भी आम में कब्र की जरूरत होगी?
- 29. HTTP शीर्षलेख: क्या कैश-कंट्रोल पर्याप्त है, या क्या मुझे अभी भी समाप्त होने की आवश्यकता है?
- 30. मुझे MPI_Barrier() का उपयोग करने की आवश्यकता कब होगी?
मैं वास्तव में यह नहीं समझता कि इस प्रश्न के बावजूद इस सवाल को कितना अपवाद मिला है कि [Google खोज] के दो पहले परिणाम (https://www.google.fr/search?q=sql+injection+dropdown&ie = utf-8 और oe = utf-8 और aq = t & rls = org.mozilla: en-US: आधिकारिक और क्लाइंट = फ़ायरफ़ॉक्स-ए और चैनल = एसबी और gfe_rd = cr और ei = rqQMVJPvBpGDcOqcgvAG) पहले से ही इसका उत्तर देता है और उत्तर छोटा होता है और नीचे उबलता है: [** कभी भरोसा नहीं उपयोगकर्ता इनपुट **] (http://stackoverflow.com/questions/2794016/what-should-every-programmer-now-about-security)। –
क्रोम में अपने चयन बॉक्स पर राइट-क्लिक करें और 'तत्व का निरीक्षण करें' पर क्लिक करें। फिर मूल्यों को जो भी आप पसंद करते हैं उसे बदलने के लिए स्वतंत्र महसूस करें और फॉर्म जमा करें। – rybo111