Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Достаточно ли защиты / 8 сообщений из 8, страница 1 из 1
05.09.2005, 18:22
    #33252550
Kulavert
Kulavert
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
Здравствуйте!
Для защиты от SQL-инъекции при обработке POST для формирования SQL-выражения в скрипте используется addslashes(). Достаточно ли будет этого? (на всяк случай: я не силен в скриптах, не судите строго)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.09.2005, 18:27
    #33252563
g613
g613
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
НЕТ
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.09.2005, 18:33
    #33252572
Kulavert
Kulavert
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
g613НЕТ
А что еще нужно?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.09.2005, 18:35
    #33252576
Kulavert
Kulavert
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
g613НЕТ
Как-то можно обойти addslashes()? (не сочтите за инструкцию для хакера!)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.09.2005, 18:40
    #33252583
.-.-.-.-.-
.-.-.-.-.-
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
Kulavert g613НЕТ
Как-то можно обойти addslashes()? (не сочтите за инструкцию для хакера!)
обойти addslashes нельзя, если программер правильно его использует.
В иных случаях возможны дыры, описаные в http://www.securitylab.ru/contest/212099.php

+
addslaches не подходит при экранировании ?% если используется like
http://phpfaq.ru/slashes#notes
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
06.09.2005, 10:35
    #33253145
g613
g613
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
Kulavert g613НЕТ
А что еще нужно?

Нужно избегать `формирования SQL-выражения` - выражение должно уже быть сформировано, все что отдает пользователь должно однозначно интерпритироваться как параметры. Это все что я хотел сказать.

P.S.

Это воспоминания полугоичной давности поле махания шашкой по комерческой совтине
написанной примерно так:

Код: plaintext
1.
2.
3.
$sql = "exec AccountIns
           @SubscriberID  = ".$s[SubscriberID]."
          ,@ParentID = ".$ParentID;
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
06.09.2005, 11:12
    #33253270
lissyara
lissyara
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
А я так и делаю... Тока перед этим проверяю является ли числом id - если
нет - подставляется id индексной страницы сайта....


Posted via ActualForum NNTP Server 1.3
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
06.09.2005, 11:28
    #33253332
g613
g613
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Достаточно ли защиты
...они не проверяли, результат был весьма забавный, учитывая что это был интерфейс к биллингу...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Достаточно ли защиты / 8 сообщений из 8, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 430ms
Закрыть
start [/forum/topic.php?fid=23&tablet=1&tid=1477661]:
 0ms
get settings:
 5ms
get forum list:
 12ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 159ms
get topic data:
 7ms
get forum data:
 2ms
get page messages:
 39ms
get tp. blocked users:
 1ms
others: 201ms
total:  430ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]