SQL иньекции

SQL иньекции - Visavi.net https://visavi.net/ RSS - Visavi.net https://visavi.net/assets/img/images/logo_small.png RSS - Visavi.net https://visavi.net/ [email protected] (admin) [email protected] (admin) Sat, 16 Nov 2024 21:37:42 +0300 32. ByVlad, это тот же велосипед, только с моторчиком ну ненадо фильтровать все без разбора https://visavi.net/topics/16914/301814 SQL иньекции ramzes Sat, 08 Jan 2011 15:42:24 +0300 Сообщения https://visavi.net/topics/16914/301814 32. ByVlad, ну что ж на досуге попробуем <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> https://visavi.net/topics/16914/301723 SQL иньекции XoPyC Sat, 08 Jan 2011 13:10:16 +0300 Сообщения https://visavi.net/topics/16914/301723 $_GET = array_map('mysql_real_escape_string_array', $_GET); хз будет ли работать, но должно. https://visavi.net/topics/16914/301482 SQL иньекции Владислав Sat, 08 Jan 2011 00:44:45 +0300 Сообщения https://visavi.net/topics/16914/301482 <blockquote class="blockquote">ramzes (8 Января 2011 / 00:06) откажись от него, фильтровать надо там где используешь данные, т е перед запросом к бд</blockquote> в большинстве случаев так и делаю, этот код наверно был как cтрахoвкa https://visavi.net/topics/16914/301458 SQL иньекции XoPyC Sat, 08 Jan 2011 00:27:26 +0300 Сообщения https://visavi.net/topics/16914/301458 откажись от него, фильтровать надо там где используешь данные, т е перед запросом к бд https://visavi.net/topics/16914/301446 SQL иньекции ramzes Sat, 08 Jan 2011 00:06:17 +0300 Сообщения https://visavi.net/topics/16914/301446 28. ramzes, я же написал что код не идеал, причем я eго немного переписал. Этот код я нашел в игре Delefa. https://visavi.net/topics/16914/301442 SQL иньекции XoPyC Fri, 07 Jan 2011 23:58:59 +0300 Сообщения https://visavi.net/topics/16914/301442 27. Queso, ужас ресурсы не бережем проверяем и фильтруем все подряд a=1&b=2&c=3&d=4&e=6&f=7&g=8 и так пока твой цикл (цикл в цикле О_о) не захлебнется на explode не классика совсем, классика фильтровать только необходимое, только один раз, и только соответствующим типу данных способом, цифры и строки не одно и то же https://visavi.net/topics/16914/301423 SQL иньекции ramzes Fri, 07 Jan 2011 23:42:49 +0300 Сообщения https://visavi.net/topics/16914/301423 вот классик для защиты от sql inj, не идеал, но все же что то... http://maxmessage.ru/r/3784 https://visavi.net/topics/16914/301282 SQL иньекции XoPyC Fri, 07 Jan 2011 21:17:44 +0300 Сообщения https://visavi.net/topics/16914/301282 - XSS нападение через data тоже в принципе не столь опасно <blockquote class="blockquote">Использование подобного кода может пригодится на сайтах где пользователи могут публиковать различные ссылки, которые не проверяются на наличие "http://" в начале строки. Основное неудобство этого метода в том что атака с его помощью пройдёт только при непосредственном вмешательстве пользователя. То есть пользователь должен либо сам кликнуть на подобную ссылку, либо ввести её в браузер, находясь на нужной странице. Если, например, JS-код можно использовать при отсутствии фильтрации адреса изображения: <img src="javascript:alert(12345);"> и этот код нормально обработается при простом открытии странички, то код транспортируемый с помощью протокола DATA пользователь должен обязательно вызвать сам.</blockquote> https://visavi.net/topics/16914/295846 SQL иньекции ZaRiN Wed, 29 Dec 2010 03:12:08 +0300 Сообщения https://visavi.net/topics/16914/295846 Погуглил на счет "XSS-нападение с использованием UTF-7 кодировки" - если кодировка в заголовках явно указана и она не является UTF-7 то этой атаки можно не боятся <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> уже завтра об остальном погуглю) Добавлено через 01:59 сек. <blockquote class="blockquote">Под конец описания данного метода опишем основные его неудобства: 1. Работает только с браузером Internet Explorer 2. Код должен находится до тегов определяющих кодировку 3. Перед кодом не должно быть никакого текста, содержащего символы из других кодировок, так как опознавание кодировки будет происходить именно по этому тексту (а следовательно – не правильно).</blockquote> https://visavi.net/topics/16914/295843 SQL иньекции ZaRiN Wed, 29 Dec 2010 02:58:03 +0300 Сообщения https://visavi.net/topics/16914/295843 21. LondoN_tm, спасибо, возьму на заметку <img src="https://visavi.net/uploads/stickers/smile.gif" alt="smile"> https://visavi.net/topics/16914/295838 SQL иньекции ZaRiN Wed, 29 Dec 2010 02:39:24 +0300 Сообщения https://visavi.net/topics/16914/295838 22. LondoN_tm, прикольно) https://visavi.net/topics/16914/295824 SQL иньекции delete Wed, 29 Dec 2010 01:21:53 +0300 Сообщения https://visavi.net/topics/16914/295824 Хорошая статья о фильтрации <a href="http://www.codeharmony.ru/materials/17" target="_blank" rel="nofollow">http://www.codeharmony.ru/materials/17</a> https://visavi.net/topics/16914/295802 SQL иньекции Дмитрий Wed, 29 Dec 2010 00:34:29 +0300 Сообщения https://visavi.net/topics/16914/295802 17. mr.Z, htmlspecialchars() — конвертирует только специальные символы (’&’, ‘”‘, ”’, ‘<’ и ‘>’) в HTML сущности (’&amp;’, ‘"’…). Я считаю, что для удаления возможности быть атакованым xss методом одного htmlspecialchars() не достаточно, так как помимо выполнения HTML-кода, всегда есть возможность испытать скрипт на: - XSS-нападение с использованием UTF-7 кодировки. - XSS-нападение с помощью метода TRACE. - экзотика, да? зато работает - XSS нападение через data - XSS-нападение через Flash-анимаци. - ActionScript. - XSS-DOM - использование ошибок и критических уязаимостей в ПО для проведения XSS. Добавлено через 02:25 сек. К тому же если я не ошибаюсь, htmlspecialchars() не фильтрует знак процента "%" что позволяет выполнить команду, зашифрованую в URL сущность. Типа, %20UNION%20SELECT%20*%20FROM.. https://visavi.net/topics/16914/295792 SQL иньекции Дмитрий Tue, 28 Dec 2010 23:55:53 +0300 Сообщения https://visavi.net/topics/16914/295792 19, у меня мания меньше кода больше производительности) https://visavi.net/topics/16914/295748 SQL иньекции smartvbxos7 Tue, 28 Dec 2010 22:15:27 +0300 Сообщения https://visavi.net/topics/16914/295748