ФорумПрограммированиеПыхнуть хотите?F.A.Q. → Защита кода от SQL-injection

Защита кода от SQL-injection

  • Kuzya

    Сообщения: 26 Репутация: N Группа: Кто попало

    Spritz 30 июля 2008 г. 22:35

    Почитал статьи в этом разделе и решил написать свою, параллельно впихав туда основные знания по данным типам баг. Прошу оценить. Обсуждать можно в этой теме.
    http://white-team.net/?q=node/20
    Здесь статью разместить не могу т.к. что-то случилось с предварительным просмотром и нельзя у кода выставить красный фон.
    Буду благодарен за любые отзывы и критику.

  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 30 июля 2008 г. 22:50, спустя 14 минут 38 секунд

    Kuzya, красное выделение (фон) - это жесть, читать невозможно. Статью прочту попозже.
    adw/0
  • Trej Gun

    Сообщения: 5299 Репутация: N Группа: в ухо

    Spritz 30 июля 2008 г. 23:56, спустя 1 час 6 минут 20 секунд

    ничего нового не нашол, ценность статьи ноль
    стиль изложение улыбает
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 31 июля 2008 г. 1:49, спустя 1 час 53 минуты 13 секунд

    За всё время, которое я занимаюсь взломом, я видел множество статей по защите от уязвимостей типа SQL-inj. Но во всех них постоянно присутствовало 2 проблемы:
    1.Некоторые моменты не разбирались до конца
    2.Писал статью веб-программист а не взломщик.

    Тебе на античат.ру надо =)
  • megabit

    Сообщения: 367 Репутация: N Группа: Кто попало

    Spritz 31 июля 2008 г. 1:54, спустя 4 минуты 47 секунд

    на иннаттак =)
  • Kuzya

    Сообщения: 26 Репутация: N Группа: Кто попало

    Spritz 31 июля 2008 г. 2:20, спустя 26 минут 20 секунд

    я итак с инатака =) Для атакующей стороны уже много чего написал, вот теперь пытаюсь для обратной.
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 2 августа 2008 г. 15:13, спустя 2 дня 12 часов 52 минуты

    Kuzya, программисты разные бываю… люди приходят к программированию из разных слоев, будь то математики, логисты, админы, "взломщики" (как ты назвал) или в простонародье "кракеры". Не надо обобщать про то что программисты не секут в таких делах!

    Статья для меня ничего нового не рассказала, но думаю новичкам пригодится, хотя врядли они поймут о чем речь, по поводу изложения тоже не очень уверен что все доходчиво изложено.
    adw/0
  • pasha

    Сообщения: 1048 Репутация: N Группа: Адекваты

    Spritz 12 августа 2008 г. 13:20, спустя 9 дней 22 часа 7 минут

    white-team.net

    я уж подумал куклукс клан o__O
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 12 августа 2008 г. 15:40, спустя 2 часа 20 минут 1 секунду

    юзаю себе функцию:
    function secure($string) {
    return str_replace(array("{","<", ">", "'"), array("{","<", ">", "/'"), $string);
    }

    + проверка is_numeric и не парюсь
    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • md5

    Сообщения: 11948 Репутация: N Группа: в ухо

    Spritz 12 августа 2008 г. 22:03, спустя 6 часов 22 минуты 32 секунды


    юзаю себе функцию:
    function secure($string) {
    return str_replace(array("{","<", ">", "'"), array("{","<", ">", "/'"), $string);
    }

    + проверка is_numeric и не парюсь
    в чем её великое предназначение?
    все умрут, а я изумруд
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 13 августа 2008 г. 0:32, спустя 2 часа 29 минут 8 секунд

    Frozzeg, мда… А как ты думаешь, зачем эти странные люди разработчики ввели функцию mysql_escape_string, а потом еще им мало показалось и ввели mysql_real_escape_string… Знаешь? Так вот, к чему я. Не надо считать разработчиков php дурней себя.

    P.S.
    str_replace(array("{","<", ">", "'"), array("{","<", ">", "/'"), $string);

    Не в обиду, но это херня.
  • Trej Gun

    Сообщения: 5299 Репутация: N Группа: в ухо

    Spritz 13 августа 2008 г. 0:51, спустя 19 минут 18 секунд

    Не в обиду, но это херня.

    угу
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 13 августа 2008 г. 2:03, спустя 1 час 11 минут 48 секунд



    юзаю себе функцию:
    function secure($string) {
    return str_replace(array("{","<", ">", "'"), array("{","<", ">", "/'"), $string);
    }

    + проверка is_numeric и не парюсь
    в чем её великое предназначение?

    ну кагбе защита от хсс, хтмл и экранирование кавычки)
    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • Trej Gun

    Сообщения: 5299 Репутация: N Группа: в ухо

    Spritz 13 августа 2008 г. 3:23, спустя 1 час 20 минут 11 секунд

    двойную кавычку ты яно профачил

    "/'"

    этот символ вводит меня в ступор

    комментарии sql ты тоже не учел


    /**/
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 13 августа 2008 г. 3:44, спустя 20 минут 20 секунд

    \' )
    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!