 niebezpieczny MySQL |
| niebezpieczny MySQL |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 1 Pomógł: 0 Dołączył: 11.02.2003 Skąd: Gliwice Ostrzeżenie: (0%) 
 |
Ponoc w bazie mysql zle napisane procedury do odczytow rekordow moga posluzyc jako odczytanie calej tabeli
 ?
np jest tabela z dwoma kolumnami login i haslo formularz, ktory po wpisaniu hasla pojawia sie login ponoc za jego pomoca mozna odczytac wszystkie hasla i loginy bez potrzeby znajomosci hasel. Jak to mozliwe i jak sie przed tym zabezpieczyc? |
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Przyjaciele php.pl Postów: 398 Pomógł: 0 Dołączył: -- Skąd: Poznań Ostrzeżenie: (0%)
|
Generalnie w kodzie MySQL nie ma w tej chwili ujawnionych groźnych dziur ale zawsze lepiej dmuchać na zimne. Proponuje lekturę u źródeł: http://www.mysql.com/doc/en/General_security.html albo nieco ogólnych porad z innego miejsca: http://www.linuxsecurity.com/feature_stori..._story-130.html. O tym, że nie należy ufać danym wprowadzanym przez użytkownika wiedzą raczej wszyscy. Niekoniecznie jednak zdajemy sobie sprawę jak zachowa się skrypt po wklepaniu zamiast loginu polecenia np. ; DROP DATABASE mysql. Dobrze sobie na wszelki wypadek poczytać o takich zabawach: http://www.webmasterworld.com/forum13/1753.htm.
-------------------- cease this long, long rest / wake and risk a foul weakness to live / when it all comes down / watch the smoke and bury the past again / sit and think what will come / raise your fears and cast them all away
|
|
|
|
Chudy_ niebezpieczny MySQL 13.02.2003, 16:30:48 
scanner 1. Zacznij od początku.
2. "Ponoć" się zwykło poda... 14.02.2003, 14:10:48 
GeoS Koledze chyba raczej chodzilo o zabawy typu SQL-in... 14.02.2003, 20:41:35  |
|
Aktualny czas: 22.08.2025 - 00:40 |
