|
![]() |
Пред. тема | След. тема | ||
Форумы
![]() | |||
---|---|---|---|
Изначальное сообщение | [Проследить за развитием треда] |
"OpenNews: Разбор техники атак подстановки в SQL запросы на п..." | |
Сообщение от opennews ![]() | |
В статье "SQL Injection Attacks by Example (http://www.unixwiz.net/techtips/sql-injection.html)" демонстрируется техника проведения атак направленных на подстановку злонамеренного SQL кода внутри пользовательского ввода, в скриптах не проверяющих должным образом поступающие из внешних источников параметры. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
Оглавление |
|
Сообщения по теме | [Сортировка по времени, UBB] |
1. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Аноним ![]() ![]() | |
Блин ну прикольно ) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
2. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Moralez ![]() ![]() | |
иногда в поле ввода пишешь lala\00 и она (искомая строка) на экран и вываливается :) | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
3. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Ося ![]() ![]() | |
Извините, но это же детский лепет, кто вам без разбора запустит параметры в запрос, к тому же, смысла там на одно предложение, остальное рассказ о синтаксисе SQL... | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
![]() | |
4. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от uldus ![]() | |
>Извините, но это же детский лепет, кто вам без разбора запустит параметры | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
5. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Аноним ![]() | |
достаточно для всех параметров использовать escape спецсимволов (такие ф-ции есть в клиентских либах всех серверных СУБД), например pg_escape_string, mysql_escape_string etc и все атаки уходят в эпоху динозавров | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
![]() | |
6. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от chip ![]() ![]() | |
> достаточно для всех параметров | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
7. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от scum ![]() ![]() | |
> А админам приходится придумывать различные выкрутасы вроде mod_security. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
![]() | |
8. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от chip ![]() ![]() | |
>> А админам приходится придумывать различные выкрутасы вроде mod_security. | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
9. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Аноним ![]() | |
Все фигня, мужуки. Прикол в том, что тестить аргументы вовсе не обязательно. Томас что говорит? "Use binds,use binds,use binds!" Что это означает? Правильно. use binds! Такие запросы в Оракле _принципиально_ не болеют инъекциями. Попробуйте написать процедурку либо с явными байндами либо с курсором с параметром, позовите через mod_plsql и попытайтесь получится или нет ее инъектнуть. Что? Не слышали о курсорах никогда? RTFM, docs.oracle.com! | |
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ] |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |