 SQL injection i inne ataki |
| SQL injection i inne ataki |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 44 Pomógł: 1 Dołączył: 16.09.2010 Ostrzeżenie: (0%) 
 |
Czy jeśli zablokuję znaki
CODE '/\:*?"<>|; Mogę być na ogół pewny że nie grozi mi SQL injection ? Jakie są jeszcze typy ataków poprzez SQL i na czym polegają, dobrze jeszczy by było jak by ktoś powiedział jak się przed nim zabezpieczyć. jeśli nie będzie to tylko odsyłka do angielskiej strony będzie pomógł (IMG:style_emoticons/default/wink.gif) Ten post edytował eska chojnice 5.04.2012, 19:24:55 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 98 Pomógł: 33 Dołączył: 10.05.2011 Skąd: Krak Ostrzeżenie: (0%)
|
Ataki związane z SQL? Napisałem o wstrzykiwaniu kodu do instrukcji SELECT. Dużo gorsze może byś wstrzyknięcie kodu do instrukcji INSERT, UPDATE albo DELETE. Zabezpieczać się można w tych wypadkach w ten sam sposób. Dane potraktować funkcją mysql_real_escape_string() i koniecznie ograniczyć je w zapytaniu cydzysłowami. Dotyczy to danych nie tylko z formularza ale z każdego źródła, nawet plików na serwerze albo samej bazy danych.
W ostatnim poście ucięło mi końcówkę. Miało być bindowanie parametrów. Zapomniałem też napisać o problemie jaki stwarza magic_quotes_gpc(). Jeśli magic_quotes jest włączone backslashe dodawane są automatycznie i trzeba najpierw je usunąć za pomocą funkcji stripslashes(). Żeby nie mieszać w kodzie aplikacji najlepiej zrobić to gdzieś na początku. Tak jak tu jest opisane. |
|
|
|
eska chojnice SQL injection i inne ataki 5.04.2012, 19:13:23 
droslaw Blokowanie jakichkolwiek znaków to nie jest dobry ... 5.04.2012, 20:27:06 eska chojnice a jakie są jeszcze ataki? 5.04.2012, 20:52:33 
thek Pozwolicie, że się wtrącę, ale jest już na tym for... 5.04.2012, 23:09:29  |
|
Aktualny czas: 26.12.2025 - 17:52 |
