💉
Безопасность

SQL injection: что это и защита

04.02.2025
← Все статьи

SQL injection — внедрение злого SQL через пользовательский ввод. OWASP Top 10 #1.

Пример

WHERE name='$name' — пользователь вводит admin' OR '1'='1 — пускает как админ.

Единственное правильное: Prepared Statements

PDO: $st->prepare(...); $st->execute([$name]).

Что НЕ делать

String concatenation, mysql_real_escape — устарели.

ORM

Eloquent, Doctrine — авто prepared.

WAF

Cloudflare WAF — второй слой.

Похожие статьи

🔐 Менеджеры паролей — выбор между Bitwarden, 1Password, LastPass и KeePass 🍯 Honeypot — скрытое поле в форме, ловит ботов и останавливает спам 📄 /.well-known/security.txt — стандарт контакта по вопросам безопасности 📋 Соответствие GDPR — обязательства по защите данных европейцев
🌐 Язык
🇺🇿 O'zbek 🇺🇿 Ўзбек 🇷🇺 Русский 🇬🇧 English