问题标签 [code-injection]

我正在使用以下内容来清理我的联系表单中的输入：

我正在使用这个功能：

这足以清理我的联系表吗？

谢谢。

是否可以在运行时操纵（签名的）.NET 程序的字节码？例如，通过强制 JIT 重新评估 IL？

现在你可以阅读很多关于代码注入、漏洞利用、缓冲区、堆栈和堆溢出等导致注入和运行代码的信息。我想知道这些东西与 Java 有什么关系。

我知道，Java 语言中没有指针。但是JVM不是在堆和/或堆栈中组织数据吗？我知道没有 eval 函数（就像在 PHP 中一样），所以你不能轻易地将输入用作 Java 代码。我不太确定字节码级别发生了什么。

我认为 XSS 是可能的，例如在 Java EE 应用程序中，当没有过滤输入时。但这不是更多的 JavaScript 注入，因为注入的代码在浏览器中运行，而不是在 JVM 中？

那么哪些代码注入可以使用 java 而哪些不可以呢？其他 Java 平台语言也是如此吗？

提前致谢。

Let's say I have the following interceptor in a SEAM app:

myMonitor.a() works (so Monitor is correctly injected), myMonitor.b() fails because Monitor is already null. Seam Doc says: "Injected values are disinjected (i.e., set to null) immediately after method completion and outjection."

Is that what is happening? Can I do something to tell SEAM to "not yet" "disinject" the component? I can of course also do something like XContext.get(..), but I'm wondering whether this is a bug or a mistake from my side. thanks!

The only php page that I see with the code is the index.php, so I replace it with a backup and everyday I see it change to:

I am in the process of deleting the site and reinstalling Joomla with all its plugins. Will I also have to rebuild the database? I don't know if this was just a PHP Injection or a SQL Injection. Is there a way to test for MySQL injection?

我想让 Web 应用程序的用户输入一个 URL，然后将该 URL 传递给 curl。我宁愿使用 curl 而不是 Net::HTTP 或 open-uri。但这会带来安全风险。检查 URL 字符串并防止任何注入攻击的最佳方法是什么？

我正在考虑使用这样的正则表达式来检查注入攻击：

如果检查成功，那么只需像这样调用 curl

这足够安全吗？

我正在构建一个基于 C++ (Qt) 的应用程序来控制基于 Flash 的 UI。由于 Flash 运行时会泄漏大量内存，因此我们将 UI 作为加载在独立 Flash 播放器中的 .swf 文件执行，与使用 C++ 编写的命令和控制应用程序分开。

C++ 将 Flash 播放器作为具有适当参数的外部进程启动，并通过连接到 localhost 的 TCP 套接字与其通信。

该应用程序主要在 Windows XP 及更高版本上运行。

单独运行 flash player 的不幸副作用是两个应用程序显示在 Alt+tab 列表以及 Windows 的任务栏中（一个是我们的应用程序，另一个是 flash 播放器）。此外，当应用程序全屏运行时，flash 必须管理整个屏幕。允许 C++ 应用程序绘制屏幕的一部分将是一个巨大的改进。

我们想以某种方式合并两者，同时让我们自己的应用程序处于控制之中。我在想一些类似于 Google Chrome 的东西，它似乎在一个单独的进程中运行每个浏览器选项卡，同时在一个窗口中显示所有输出。

我一直在阅读 Win32 API（和谷歌），以确定是否有可能实现这一点。到目前为止，我已经提出了 dll 注入作为唯一半可行的解决方案，但我非常想考虑那个计划 B。

任何建议，将不胜感激。

我想知道以下代码是否存在任何潜在的安全风险。每当用户提交评论时，我都会在我的博客上使用它，它会向我发送一条短信：

用户输入的值在哪里$name以及$comment是没有以任何方式真正清理过的值。用户是否有可能在这里做任何恶意的事情？mail()文档没有说明这一点，但是将用户输入的值直接粘贴到字符串中感觉是错误的。有任何真正的风险还是我只是偏执？

你好堆栈溢出：有时读者，第一次海报。

背景：

运行 XP SP3 的 Windows 机器，即将升级到 Windows 7 (MSDNAA <3)

我有一个注入的 DLL，它通过挂钩每秒调用数千次的函数来获取循环。

我想通过 python 应用程序通信/控制这个 DLL。基本上，DLL 完成工作，python 应用程序提供大脑/决策。

我的游戏计划是在 DLL 中有一个计数器和一个 if 语句。每次调用钩子函数时，counter++ 然后跳回到原来的函数，直到像 if (counter == 250) { // dostuff(); }。我虽然在这之后它将允许目标应用程序几乎不受阻碍地运行，但仍然会让我做一些有趣的事情。

问题：

我完全不知道应该使用哪种 IPC 方法进行通信。我们有套接字、共享内存、管道、文件映射（？）、RPC 和其他（看似）深奥的东西，比如写入剪贴板。

除了玩具示例之外，我从未实现过任何类型的 IPC。

我很确定我需要一些东西：

• 可以处理 python 和 DLL 之间的来回对话
• 不阻塞/等待
• 可以检查等待数据，如果没有则继续
• 如果涉及锁，可以继续而不是等待
• 也不需要花费大量时间来读/写

帮助？感谢您抽出宝贵时间，我希望我提供了足够的一般信息，并且没有违反任何公认的约定。

我想补充一点，相关问题框非常酷，我在发布之前确实仔细阅读了它。

我想将以下行注入我的应用程序的每个方法的顶部

我想在编译时或构建时或构建后进行 - 基本上是在它进入客户手中之前。

这可能吗？