Исходное сообщение
"Кардинальный метод защиты от XSS и атак по подстановке SQL-з..." Отправлено opennews, 17-Июн-10 00:40
Ден Каминский (Dan Kaminsky (http://en.wikipedia.org/wiki/Dan_Kaminsky)), получивший известность обнаружением фундаментальной уязвимости в DNS, представил (http://recursion.com/interpolique.html) универсальную технику защиты от "SQL Injection" (подстановка SQL-запросов) и XSS (межсайтовый скриптинг) атак. Суть техники защиты от подстановки SQL-запросов в том, что при работе с пользовательскими данными в запросе к СУБД фигурируют не открытые данные, а строка в base64-представлении, в которой изначально отсутствуют спецсимволы. В отличие от традиционной практики анализа вводимых пользователем данных и экранирования опасных символов перед формированием запроса, метод Каминского по своей сути исключает человеческий фактор и возможность недосмотра при проверке. Для наглядности рассмотрим пример. Допустим в программе имеется строка <font color="#461b7e">     $conn->query("select * from table where fname=$fname;");</font> в случае отсутствия должных проверок в переменной $fname мо... URL: http://www.darkreading.com/database_security/security/app-se... Новость: http://www.opennet.ru/opennews/art.shtml?num=26997