ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Программирование [игнор отключен] [закрыт для гостей] / Кто мне объяснит, что такое "SQL-инъекция"?
25 сообщений из 36, страница 1 из 2
  1  все
Кто мне объяснит, что такое "SQL-инъекция"?
    #36762579
Lonely_hermit
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Lonely_hermit
Участник
Кто мне объяснит, что такое "SQL-инъекция" и где по возможности достать материал по ней?
...
Рейтинг: 0 / 0
27.07.2010, 19:46:40
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36762588
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
всякие гуглы/яндексы/википедии уже отменили?
SQL-инъекция
...
Рейтинг: 0 / 0
27.07.2010, 19:54:53
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36763212
Фотография Megabyte
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Megabyte
Участник
Lonely_hermitКто мне объяснит, что такое "SQL-инъекция" и где по возможности достать материал по ней?
Это когда криворукому разработчику в код запроса через переменные вставляется еще один запрос, и вытягиваются другие данные, которые не следует показывать кому попало...
Пример:
$sql = 'Select t.A, t.B from table t where t.str = '.$param

Кул хацкер может подставить в $param = 'bla-bla' union all
select at.login, at.password from admin_table at ',
если разработчик не озаботился безопасностью передачи переменных.
И, как вариант, получает какие-то секретные данные по
пользователям и спокойно может ломать БД!
...
Рейтинг: 0 / 0
28.07.2010, 10:56:45
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36763695
Фотография kinky cat
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kinky cat
Участник
о! еще одна причина хранить запросы в процедурах в самой бд
...
Рейтинг: 0 / 0
28.07.2010, 13:09:50
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36763983
Фотография arni
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
arni
Участник
kinky catо! еще одна причина хранить запросы в процедурах в самой бдне выход, ибо значительная часть запросов - параметрические запросы, а значения параметров приходят из недружественной среды, типа вэба.
...
Рейтинг: 0 / 0
28.07.2010, 14:20:45
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764113
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
kinky catо! еще одна причина хранить запросы в процедурах в самой бдХранение запросов в процедурах никак не влияет на возможность/невозможность проведения SQL-инъекции.

Модератор: Тема перенесена из форума "MySQL".
...
Рейтинг: 0 / 0
28.07.2010, 14:59:42
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764483
Фотография Shakill
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Shakill
Участник
kinky catо! еще одна причина хранить запросы в процедурах в самой бд

скорее, это причина хранить запросы в процедурах И минимизировать использование динамического sql в них
...
Рейтинг: 0 / 0
28.07.2010, 16:57:30
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764734
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
mayton
Участник
Анонимос рекомендует использовать bind-перемнные там где это возможно. По поводу pure-dynamic SQL запросов я щас не готов сказать. Надо подумать где, такой функционал может быть ну ооооочень нуно.
...
Рейтинг: 0 / 0
28.07.2010, 18:24:11
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764781
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
maytonАнонимос рекомендуетЭто вы кого-то цитируете или отлогиниться забыли?
...
Рейтинг: 0 / 0
28.07.2010, 18:36:05
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764817
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Lonely_hermitКто мне объяснит, что такое "SQL-инъекция" и где по возможности достать материал по ней?
Всё достаточно просто. В SQL-запрос можно передавать только (!)параметры, остальное - чревато. Это самое важное правило. Если Вы хотите сортировать по какому-то полю, переданному с клиента - передавайте номер поля в датасете, а не название. Если Вы хотите передавать условие WHERE (вхере) - только параметр!
...
Рейтинг: 0 / 0
28.07.2010, 18:48:32
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36764837
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
mayton
Участник
miksoftmaytonАнонимос рекомендуетЭто вы кого-то цитируете или отлогиниться забыли?
Забей. Просто уже вечер и меня плющит. Жара...
...
Рейтинг: 0 / 0
28.07.2010, 18:55:30
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765006
Анонимный мастер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Анонимный мастер
Участник
читал об этом давненько :)
неужели вся трагедия в непроверке переменной?
до истерии элементарно.Или же я чего то не знаю и не понял?:)
...
Рейтинг: 0 / 0
28.07.2010, 21:06:56
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765010
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
Анонимный мастернеужели вся трагедия в непроверке переменной?
до истерии элементарно.Или же я чего то не знаю и не понял?:)Тем не менее, этим пренебрегают весьма часто.
...
Рейтинг: 0 / 0
28.07.2010, 21:13:06
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765011
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Анонимный мастер,

Ну да, не сложно. Хотя было бы интересно Ваше мнение по поводу передачи в запрос выражения, например WHERE или ORDER BY. Простой проверкой без анализа синтаксиса - не получится. То есть, я имею ввиду '...WHERE '+where, где where - некоторая переменная.
...
Рейтинг: 0 / 0
28.07.2010, 21:15:03
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765027
Анонимный мастер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Анонимный мастер
Участник
miksoftАнонимный мастернеужели вся трагедия в непроверке переменной?
до истерии элементарно.Или же я чего то не знаю и не понял?:)Тем не менее, этим пренебрегают весьма часто.

просто когда пишешь код, нужно не забывать что ты творец и владыка своего сорца. :)
...
Рейтинг: 0 / 0
28.07.2010, 21:39:25
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765028
Анонимный мастер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Анонимный мастер
Участник
ShSerge, ой, маминьки, а нельзя по проще? я аж скукожился после слов:передачи в запрос выражения.
...
Рейтинг: 0 / 0
28.07.2010, 21:40:46
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765038
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Анонимный мастер,

Можно попроще.
Код: plaintext
q1="SELECT a,b,c FROM MyTable WHERE ";
С клиента приходит строчка
Код: plaintext
q2="1=1\nDROP DATABASE";
Собственно, запрос - это исполнение строки-конкатенации q1 и q2. Вполне корректный запрос без синтаксических ошибок. :)
...
Рейтинг: 0 / 0
28.07.2010, 21:51:57
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765042
Анонимный мастер
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Анонимный мастер
Участник
ShSerge, не понял что вы хотите.

используйте preg_ например и не напрягайте и то отсутствующий у меня мозг:)
...
Рейтинг: 0 / 0
28.07.2010, 21:55:48
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765045
miksoft
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miksoft
Участник
ShSerge,

А можно пример, когда реально необходимо из внешней среды получать фрагменты SQL-конструкций (выражения), не являющийся откровенным костылем в архитектуре системы?
...
Рейтинг: 0 / 0
28.07.2010, 21:58:59
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765047
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Анонимный мастер,

ТС - не я. Что использовать не спрашиваю, даже не знаю про какой язык и про какую БД идёт речь. Просто привёл пример инъекции. Одной из многих возможных.
...
Рейтинг: 0 / 0
28.07.2010, 21:59:49
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765048
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
miksoftShSerge,

А можно пример, когда реально необходимо из внешней среды получать фрагменты SQL-конструкций (выражения), не являющийся откровенным костылем в архитектуре системы?
Раз плюнуть. Всякого рода построители запросов.
...
Рейтинг: 0 / 0
28.07.2010, 22:00:52
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765328
Фотография XDiaBLo
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
XDiaBLo
Участник
maytonАнонимос рекомендует использовать bind-перемнные там где это возможно. По поводу pure-dynamic SQL запросов я щас не готов сказать. Надо подумать где, такой функционал может быть ну ооооочень нуно.
А связанные переменные полностью исключают возможность SQL-инъекций? Просто интересно, я то уже почитай лет 6 кроме связанных переменных, никак параметры запросам не передаю.
...
Рейтинг: 0 / 0
29.07.2010, 07:29:26
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765330
Фотография XDiaBLo
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
XDiaBLo
Участник
ShSergemiksoftShSerge,

А можно пример, когда реально необходимо из внешней среды получать фрагменты SQL-конструкций (выражения), не являющийся откровенным костылем в архитектуре системы?
Раз плюнуть. Всякого рода построители запросов.
Можно ссылку на такой? Что-то с трудом представляю необходимость такого в вебе.
...
Рейтинг: 0 / 0
29.07.2010, 07:33:16
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765395
Фотография mayton
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
mayton
Участник
XDiaBLomaytonАнонимос рекомендует использовать bind-перемнные там где это возможно. По поводу pure-dynamic SQL запросов я щас не готов сказать. Надо подумать где, такой функционал может быть ну ооооочень нуно.
А связанные переменные полностью исключают возможность SQL-инъекций? Просто интересно, я то уже почитай лет 6 кроме связанных переменных, никак параметры запросам не передаю.
Это классическая рекомендация от всяких там security labs и прочих учебников. Насчёт того, будет-ли это полностью исключать инъекцию - не знаю. Сам по себе термин инъёкций несёт более широкий смысл чем исполнение ненужных DML/DDL операций. Сюда же добавляют различные сторонние языки и технологии, которые позволяют получить доступ к машинам внутренней сети на уровне ОС.
...
Рейтинг: 0 / 0
29.07.2010, 09:23:28
| Ответить | Цитировать | Написать  
Кто мне объяснит, что такое "SQL-инъекция"?
    #36765433
Фотография Shakill
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Shakill
Участник
miksoftShSerge,

А можно пример, когда реально необходимо из внешней среды получать фрагменты SQL-конструкций (выражения), не являющийся откровенным костылем в архитектуре системы?

всяческие продвинутые пользовательские фильтры, которые должны применяться на серверной стороне. есть и другие способы, но нередко используют именно динамику, ибо "так проще"
...
Рейтинг: 0 / 0
29.07.2010, 09:56:05
| Ответить | Цитировать | Написать  
25 сообщений из 36, страница 1 из 2
  1  все
Форумы / Программирование [игнор отключен] [закрыт для гостей] / Кто мне объяснит, что такое "SQL-инъекция"?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=16&msg=36765010&tid=1343470]:
 0ms
get settings:
 10ms
get forum list:
 14ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 178ms
get topic data:
 7ms
get forum data:
 2ms
get page messages:
 40ms
get tp. blocked users:
 1ms
others: 232ms
total:  488ms
созд. / загр.: 488ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]