forum.opennet.ru

"Кардинальный метод защиты от XSS и атак по подстановке SQL-з..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "bind"	+/–
Сообщение от Аноним (-), 17-Июн-10, 11:49
>Экранируется кстати стандартными функциями - mysql_real_escape в случае mysql, Вот видите, вы сами подтвердили мою гипотезу о том, что не стоит доверять внешним универсальным решениям. Я как раз упоминал о хитрых методах обхода экранирование через многобайтовые кодировки, о которых разработчики разных функций проверки не догадывались. http://secunia.com/advisories/20365/ "The vulnerability is caused due to an error within the server when parsing a query string that is escaped with the "mysql_real_escape_string()" function. This can potentially be exploited in an environment that uses multi-byte character encoding to bypass SQL injection escaping."
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Кардинальный метод защиты от XSS и атак по подстановке SQL-з..., opennews, 17-Июн-10, 00:40 [смотреть все]

Зачем это А внешних кавычек conn- query select from table where fname fn, Аноним, 17-Июн-10, 00:40 (1) //
- fname xxx delete from table select goodbye conn- query select from , XoRe, 17-Июн-10, 00:49 (3)
- PHP-программисты такие програссимты ясное дело что подставление ковычек -- НЕ , Аноним, 18-Июн-10, 21:26 (98) //
  - В PHP достаточно юзать PDO и bindColumn -методы для достижения того же самого р, Kibab, 21-Июн-10, 09:34 (102)
Очень интересно Просто и гениально Хотя все сводится к тому, что программисты в , XoRe, 17-Июн-10, 00:42 (2) //
- По-моему он экранирование переизобрел И даже если принять синтаксис , непонятн, _Vitaly_, 17-Июн-10, 01:14 (7) //
  - В том-то и дело, что экранировать сплошь и рядом забывают или криво экранируют, , Аноним, 17-Июн-10, 04:23 (19) //
    - А ещё можно экранировать при включенном автоэкранировании, тоже весело Так что , zazik, 17-Июн-10, 10:30 (41)
    - Когда разработчики не дураки, обычно запросы идут через прослойку, которая автом, _Vitaly_, 17-Июн-10, 12:19 (56)
      - Да суть-то в другом Чтобы была схема юзер что-то ввел в форму - оно кодируется в, XoRe, 18-Июн-10, 11:24 (91)
        
        Теперь просек Действительно хороший выход для тех, кто без врапперов пишет , _Vitaly_, 20-Июн-10, 00:15 (100)
идея конечно гениальнаНОесли у меня в базе будут base64 закодированные данные, т, ffsdmad, 17-Июн-10, 01:00 (4) //
- Base64 передается в только в запросе, завернутый в вызов функции преобразования , Alex, 17-Июн-10, 01:16 (8) //
  - а какой смысл если после декодирования в запросе появится лишняя кавычка или joi, ffsdmad, 17-Июн-10, 01:20 (10) //
    - либо это должно быть встроено в субд, всмысле врапер, чтобы раскодированная стро, ffsdmad, 17-Июн-10, 01:22 (11)
      - само собой, base64 декодируется уже внутри СУБД, средствами субд и представляет , Аноним, 17-Июн-10, 05:15 (24)
- base64 всегда буквы и цифры, т е чтобы не делал в запросе всегда будут буквы и , Аноним, 17-Июн-10, 04:27 (20)
непонятно, так если я введу например через веб-форму or в переменную fna, ссс, 17-Июн-10, 01:03 (5) //
- получивший известность обнаружением фундаментальной уязвимости в , ffsdmad, 17-Июн-10, 01:04 (6)
- Не выполнит , аноним, 17-Июн-10, 01:43 (12)
- В запросе к базе будет вместо вашего or - b64d DSSDDQEd , и уже СУБД д, Аноним, 17-Июн-10, 04:32 (22)
А 2 года назад меня пытались заплевать http sql ru forum actualthread aspx t, vvvua, 17-Июн-10, 01:18 (9) //
- А тебя и сейчас за это заплюют и правильно сделают , аноним, 17-Июн-10, 01:44 (13)
- Вы предгагаете сделать так INSERT INTO table VALUES _base64_enoded_string_ , Аноним, 17-Июн-10, 01:57 (15) //
  - Практика показывает, что экранирование под давлением человеческого фактора совсе, Аноним, 17-Июн-10, 04:34 (23)
- И правильно заплевали Ваше решение из разряда защитимся от XSS и для этого всё в, pento, 17-Июн-10, 02:01 (17) //
  - Верно сказано Чем эти методы лучше использования, скажем, PDO с параметрами и н, Gambler, 17-Июн-10, 03:02 (18)
  - Вы ошиблись Я не от XSS защищал, а от SQL injection Это разные вещи Кроме тог, vvvua, 17-Июн-10, 14:55 (72) //
    - gt оверквотинг удален 1 Я в курсе того, чем отличаются XSS от SQL-инъекции2 , pento, 17-Июн-10, 15:52 (74)
      - На счет костыльного решения - 100 Что моё, что Камински Я не приветствую решен, vvvua, 18-Июн-10, 16:02 (96)
- Лол Base64 в целях безопасности, такого еще не было , аноним, 17-Июн-10, 06:39 (25)
- Вы предлагали совсем другое Глупо хранить в базе все строки в base64 , FractalizeR, 17-Июн-10, 10:26 (39) //
  - Как по мне, похожее предложение Да, другая проверка на соответствие base64 На , vvvua, 17-Июн-10, 14:48 (71) //
    - Читайте еще раз Абсолютно не похожее , FractalizeR, 17-Июн-10, 14:57 (73)
Во всех нормальных библиотеках это происходит и так псевдокод query parse , tonnzor, 17-Июн-10, 01:45 (14) //
- Автор это объясняет тем, что ни один програмер не пишет параметризированные запр, filosofem, 17-Июн-10, 01:59 (16) //
  - Фигня Параметризованные запросы сильно ускоряют работу при использовании норм, Sabitov, 17-Июн-10, 06:51 (27) //
    - Зачем mysqli да, если есть выбор пиши под постгрес, не пожалеешь И автора не , filosofem, 17-Июн-10, 08:22 (29)
    - Раз уж пошла такая пьянка Есть неочевидный фактор, который заставляет меня ус, Pashugan, 17-Июн-10, 13:07 (61)
      - Ты написал тупость, которая даже в мена костыле MySQL уже не соответствует дейст, аноним, 17-Июн-10, 17:19 (80)
        
        Вообще написал он правильно - разница в скорости выполнения минимальна Вызов фун, Ivan1986, 17-Июн-10, 20:35 (86)
        
        Вы в корне не правы или правы в некотором частном случае может быть для MySQL , onk, 18-Июн-10, 11:44 (92)
        
        Так ли в корне он неправ Помимо времени на компиляцию запроса есть ещё фактор д, Pashugan, 18-Июн-10, 14:52 (94)
        
        Я знаю, что правильно написал, потому что проверял это реальными тестами mysqli,, Pashugan, 18-Июн-10, 14:39 (93)
        
        Семь раз RTFM, один раз rm -rf D, tupka, 18-Июн-10, 19:34 (97)
  - Полная чушь, если нормально реализовано, то никто просто не захочет писать не па, Ivan1986, 17-Июн-10, 09:08 (30) //
    - Вся прелесть параметризованных запросов как-то в миг рушится, когда параметром о, Lain_13, 17-Июн-10, 09:44 (33)
      - Сходите по ссылке select from _table - префикс - по сути самый часто использ, ivan1986, 17-Июн-10, 10:06 (37)
        
        Дык кто бы сомневался - творчеВство пехепешников - оно вообще вштыряет не по дет, аноним, 17-Июн-10, 17:24 (81)
    - Что именно чушь Если СУБД не поддерживает параметризированные запросы, то никак, filosofem, 17-Июн-10, 11:17 (43)
      - Я ее дописывал, а не только проверял Что может - использует встроенные параметри, ivan1986, 17-Июн-10, 11:25 (44)
        
        А вам не кажется, что использование черного ящика , который то экранирует то па, Аноним, 17-Июн-10, 11:33 (46)
        
        А вам не кажется, что придумывание своего велосипеда, который хоть и известен до, ivan1986, 17-Июн-10, 11:44 (48)
        
        Вот видите, вы сами подтвердили мою гипотезу о том, что не стоит доверять внешни , Аноним, 17-Июн-10, 11:49 (50)
        
        Вы только что доказали, что вы Аналитик с лора Тоесть вы предлагаете экранирова, ivan1986, 17-Июн-10, 11:59 (52)
        
        Я предлагаю не испытывать излишнего доверия к черным ящикам , так как в этом ли, Аноним, 17-Июн-10, 12:17 (55)
        
        Понятно, позиция называется - пишем на ассемблере все Вы сейчас несете чушь - ис, ivan1986, 17-Июн-10, 12:34 (57)
        
        Стоп, это же именно вы предлагайте использовать левую нестандартную библиотеку в, Аноним, 17-Июн-10, 13:11 (63)
        Нет, я как раз предлагаю использовать стандартные функции - в случае mysql - mys, ivan1986, 17-Июн-10, 13:22 (65)
        Я пробовал принимать в mainstream - , Аноним, 17-Июн-10, 14:15 (70)
        
        Release Date 2006-06-02, Sw00p aka Jerom, 17-Июн-10, 20:48 (87)
- Не вижу проблем писать код вида псевдокод conn- query SELECT FROM table WH, Аноним, 17-Июн-10, 13:47 (67) //
  - вот тут-то как раз собака и порылась - если использовать биндинг то параметры вс, Cobold, 17-Июн-10, 16:13 (75) //
    - Да, все правильно По сути этоиу правилу удовлетворяет PDO, а симпла, про которую, ivan1986, 17-Июн-10, 16:42 (79)
Вот в Постгрес есть такая тема, можно задавать любые ограничители типа somethin, Аноним, 17-Июн-10, 06:39 (26)
Это всё конечно интересно, да вот только ПМСМ нормальные программеры итак заботя, anthonio, 17-Июн-10, 09:24 (31) //
- Только нормальный программеров раз-два и обчелся, или их код обязательно будет р, Аноним, 17-Июн-10, 09:52 (35) //
  - Значит пишут спустя рукава Или это PHP виноват , anthonio, 17-Июн-10, 10:01 (36) //
    - А кто мешает писать спустя рукава с использованием именно этого метода Разве, FractalizeR, 17-Июн-10, 10:27 (40)
  - Вы считаете что у друпала или у джумлы хороший код Блин, да достаточно посмотрет, ivan1986, 17-Июн-10, 10:20 (38) //
    - Давайте пойдем от обратного, можете привести пример качественного PHP-проекта, к, Аноним, 17-Июн-10, 11:25 (45)
      - Ну например ZendFramework - довольно хороший код Неплохой в кохане, правда не ос, ivan1986, 17-Июн-10, 11:47 (49)
      - Вообще по части библиотеки доступа к базе данных - если при запросе к базе данны, ivan1986, 17-Июн-10, 11:53 (51)
Безумие какое-то workaround для безграмотности BTW - параметризованные запрос, Slautin, 17-Июн-10, 09:27 (32) //
- если учесть сколько народу пишет для mysql, то там нативного биндинга нет и изза, Cobold, 17-Июн-10, 12:15 (54)
- Иногда да, иногда нет См комментарий 61 , Pashugan, 17-Июн-10, 13:11 (62) //
  - нет , на мой взгляд, справедливо для очень узкого круга задач, обычно очень про, Slautin, 18-Июн-10, 09:22 (90) //
    - Я как раз говорил, что в типичном скриптовом веб-приложении скорее всего буде, Pashugan, 18-Июн-10, 15:35 (95)
ИМХО автор просто подошёл к проблеме интересным образом Я не говорю, что он реш, ixti, 17-Июн-10, 11:15 (42) //
- Верно, решение интересное Возможно, что в каких-то других областях программиров, Gambler, 18-Июн-10, 04:21 (89)
На самом деле действительно гениально и просто Я бы, по крайней мере, до такого , zuborg, 17-Июн-10, 11:34 (47)
совсем крыша поехала, вставлять eval и рассуждать о безопасности Кроме того эта, Cobold, 17-Июн-10, 12:06 (53)
1 нифига этот метод не универсальный а если запрос conn- query select from , terr0rist, 17-Июн-10, 12:42 (58) //
- Последний вывод у вас странный Есть нормальные проекты, просто блин никто в здра, ivan1986, 17-Июн-10, 12:53 (59) //
  - gt оверквотинг удален Зря Вы так про опенсорс, просто бывают разные модели раз, Cobold, 17-Июн-10, 13:17 (64) //
    - Я так не про олпенсорс вообще, а про разработку силами комьюнити Вот если разраб, ivan1986, 17-Июн-10, 13:25 (66)
- как-то довелось делать аудит для чужого проекта с тремя тысячами запросами по ко, Cobold, 17-Июн-10, 13:05 (60)
- А что бы вместо пхп предпочли вы , noname, 21-Июн-10, 22:13 (103)
- В то время, как такие, как Вы, орут об убогости пхп на форумах, нормальные разра, Kibab, 22-Июн-10, 19:49 (104)
Ну, и ещё раз о главном хоть, это возможно просто пример За conn- query f, Аноним, 17-Июн-10, 14:02 (69) //
- ха-ха-ха За второй вариант по яйцам бить нужно так-же больно , ivan1986, 17-Июн-10, 16:38 (78)
Странно, что устроили такой холивар на пустом месте Никто не заставляет вас исп, Aleksey, 17-Июн-10, 16:24 (76) //
- не смешно, ivan1986, 17-Июн-10, 16:34 (77)
Способ конечно неплохой, но не всегда удобный Кроме того, есть ещё такая вещь ка, anonymous, 17-Июн-10, 18:38 (83) //
- Я хотел сказать очень старый баян , anonymous, 17-Июн-10, 18:40 (84)
Проблема в том, что base64 - по природе своей костыль Если подумать, экраниров, StrangeAttractor, 18-Июн-10, 21:27 (99)
base64 ничем не лучше встроенных в БД методов квотирования, а минусы есть -- д, RinNas, 30-Июл-10, 12:48 (105)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру