問題タブ [sql-injection]

もちろん、JDBC/ODBC を使用している場合は、バインド変数と準備済みステートメントを使用して SQL インジェクションを防ぐことができます。しかし、最終的に Oracle SQLPlus を呼び出すバッチ プロセスにデータが渡される場合、SQL インジェクションを防ぐ方法はありますか? 例えば：

クエリ.sql:

したがって、SQLPlus からこのスクリプトを呼び出すと、次のようになります。

次の出力が得られます。

ご覧のとおり、SQLPlus コマンド ライン パラメータは単純なマクロ置換を使用しています。私が見逃している別の方法はありますか？それ以外の場合、これが悪用されるのを防ぐにはどうすればよいですか?

これがすでに尋ねられている場合はお詫び申し上げます。静的 SQL に関する回答を見てきましたが、この場合、実行時に動的に構築されるクエリ文字列に PDO->prepare() を使用したいと思います。

簡単な例に分解します。

これを db->prepare() として書き直すにはどうすればよいですか?

statement->execute(array(':param' => $var))) もその場で作成する必要がありますか?

より良い/きちんとした方法はありますか?

このようなページを作成する場合、news.php でも news_id が数値かどうかを確認する必要がありますか? それともこれは安全ですか？

index.php:

news.php:

誰かが SQL インジェクションを説明できますか? 脆弱性はどのように発生しますか? SQL が挿入されるポイントは正確にはどこですか?

私はmysqliに関する多くの記事や質問を見てきましたが、それらはすべて、SQLインジェクションから保護すると主張しています。しかし、それはばかげた証拠ですか、それともそれを回避する方法がまだありますか？クロスサイトスクリプティングやフィッシング攻撃には興味がなく、SQLインジェクションだけに興味があります。

私が最初に言わなければならないことは、私が準備されたステートメントを使用しているということです。それが私がmysqliで意味したことです。文字列を連結せずにプリペアドステートメントを使用する場合、それは絶対確実ですか？

このphpコードはどれほど危険ですか？それについて何ができるでしょうか？

PostgresSQL でそのようなものを使用する場合、SQL インジェクションに対して安全かどうかを知りたいです。

この関数を使用して、文字で始まるプレーヤーの名前を一覧表示したいと考えています。

名字が A で始まるプレイヤーを教えてくれます。

SQLを注入しようとしました

私は安全ですか？

どのような場合に注射できますか?

よろしく