ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Достаточно ли защиты
8 сообщений из 8, страница 1 из 1
Достаточно ли защиты
    #33252550
Kulavert
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Kulavert
Гость
Здравствуйте!
Для защиты от SQL-инъекции при обработке POST для формирования SQL-выражения в скрипте используется addslashes(). Достаточно ли будет этого? (на всяк случай: я не силен в скриптах, не судите строго)
...
Рейтинг: 0 / 0
05.09.2005, 18:22
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33252563
g613
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
g613
Участник
НЕТ
...
Рейтинг: 0 / 0
05.09.2005, 18:27
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33252572
Kulavert
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Kulavert
Гость
g613НЕТ
А что еще нужно?
...
Рейтинг: 0 / 0
05.09.2005, 18:33
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33252576
Kulavert
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Kulavert
Гость
g613НЕТ
Как-то можно обойти addslashes()? (не сочтите за инструкцию для хакера!)
...
Рейтинг: 0 / 0
05.09.2005, 18:35
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33252583
.-.-.-.-.-
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
.-.-.-.-.-
Гость
Kulavert g613НЕТ
Как-то можно обойти addslashes()? (не сочтите за инструкцию для хакера!)
обойти addslashes нельзя, если программер правильно его использует.
В иных случаях возможны дыры, описаные в http://www.securitylab.ru/contest/212099.php

+
addslaches не подходит при экранировании ?% если используется like
http://phpfaq.ru/slashes#notes
...
Рейтинг: 0 / 0
05.09.2005, 18:40
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33253145
g613
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
g613
Участник
Kulavert g613НЕТ
А что еще нужно?

Нужно избегать `формирования SQL-выражения` - выражение должно уже быть сформировано, все что отдает пользователь должно однозначно интерпритироваться как параметры. Это все что я хотел сказать.

P.S.

Это воспоминания полугоичной давности поле махания шашкой по комерческой совтине
написанной примерно так:

Код: plaintext
1.
2.
3.
$sql = "exec AccountIns
           @SubscriberID  = ".$s[SubscriberID]."
          ,@ParentID = ".$ParentID;
...
Рейтинг: 0 / 0
06.09.2005, 10:35
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33253270
Фотография lissyara
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
lissyara
Участник
А я так и делаю... Тока перед этим проверяю является ли числом id - если
нет - подставляется id индексной страницы сайта....


Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
06.09.2005, 11:12
| Ответить | Цитировать | Написать  
Достаточно ли защиты
    #33253332
g613
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
g613
Участник
...они не проверяли, результат был весьма забавный, учитывая что это был интерфейс к биллингу...
...
Рейтинг: 0 / 0
06.09.2005, 11:28
| Ответить | Цитировать | Написать  
8 сообщений из 8, страница 1 из 1
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Достаточно ли защиты
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=23&msg=33252550&tid=1477661]:
 0ms
get settings:
 7ms
get forum list:
 14ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 162ms
get topic data:
 10ms
get forum data:
 2ms
get page messages:
 55ms
get tp. blocked users:
 2ms
others: 211ms
total:  469ms
созд. / загр.: 469ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]