|
 Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы
Разговоры, обсуждение новостей (Public)
| |||
|---|---|---|---|
| Изначальное сообщение | [Проследить за развитием треда] | ||
| "OpenNews: Разбор техники атак подстановки в SQL запросы на п..." | |
Сообщение от opennews  on 08-Янв-05, 08:03 | |
В статье "SQL Injection Attacks by Example (http://www.unixwiz.net/techtips/sql-injection.html)" демонстрируется техника проведения атак направленных на подстановку злонамеренного SQL кода внутри пользовательского ввода, в скриптах не проверяющих должным образом поступающие из внешних источников параметры. | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| Оглавление |
|
| Сообщения по теме | [Сортировка по времени, UBB] |
| 1. "Разбор техники атак подстановки в SQL запросы на примерах" | |
Сообщение от Аноним  on 08-Янв-05, 08:03 | |
Блин ну прикольно ) | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| 2. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от Moralez (??) on 08-Янв-05, 10:28 | |
иногда в поле ввода пишешь lala\00 и она (искомая строка) на экран и вываливается :) | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| 3. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от Ося (??) on 08-Янв-05, 15:45 | |
Извините, но это же детский лепет, кто вам без разбора запустит параметры в запрос, к тому же, смысла там на одно предложение, остальное рассказ о синтаксисе SQL... | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
 | |
| 4. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от uldus (ok) on 08-Янв-05, 21:59 | |
>Извините, но это же детский лепет, кто вам без разбора запустит параметры | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | |
| 5. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от Аноним on 10-Янв-05, 03:36 | |
достаточно для всех параметров использовать escape спецсимволов (такие ф-ции есть в клиентских либах всех серверных СУБД), например pg_escape_string, mysql_escape_string etc и все атаки уходят в эпоху динозавров | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| |
| 6. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от chip (ok) on 10-Янв-05, 04:29 | |
> достаточно для всех параметров | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | |
| 7. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от scum (??) on 11-Янв-05, 12:17 | |
> А админам приходится придумывать различные выкрутасы вроде mod_security. | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
| |
| 8. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от chip (ok) on 13-Янв-05, 21:10 | |
>> А админам приходится придумывать различные выкрутасы вроде mod_security. | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | |
| 9. "Разбор техники атак подстановки в SQL запросы на примерах" | |
| Сообщение от Аноним on 23-Фев-07, 12:22 | |
Все фигня, мужуки. Прикол в том, что тестить аргументы вовсе не обязательно. Томас что говорит? "Use binds,use binds,use binds!" Что это означает? Правильно. use binds! Такие запросы в Оракле _принципиально_ не болеют инъекциями. Попробуйте написать процедурку либо с явными байндами либо с курсором с параметром, позовите через mod_plsql и попытайтесь получится или нет ее инъектнуть. Что? Не слышали о курсорах никогда? RTFM, docs.oracle.com! | |
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору |
|
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
| Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ] | |
