| |
|
|
| | Каким образом выполнить SQL-инъекции через формы на сайте, чтобы проверить его на уязвимость?
Хотелось бы увидеть примеры этих инъекций. | |
| |
|
|
| |
|
|
| |
для: Arfey
(14.06.2009 в 18:50)
| | | Попихать туда неразрешенные символы (например кавычки), кусочки кода и тд)) | |
| |
|
|
| |
|
|
| |
для: Diplex
(14.06.2009 в 21:40)
| | | у меня поля формы где допустим пользовательский ввод проверяются eregi().
Если находятся перечисленные в функции символы - возвращается ошибка.
Например:
eregi("^[^[@^&<>/]{6,250}\$", $_REQUEST['opis']); }
|
Достаточно ли этого, чтобы говорить "о надежности" (или хотябы "О хоть какой-то надежности") данной формы/.
Или есть варианты обхода этого? | |
| |
|
|
| |
|
|
| |
для: Arfey
(14.06.2009 в 23:31)
| | | По-моему, логичнее делать список не запрещенных, а разрешенных значений
Для этого используется регулярное выражение
А про sql-инъекции - лучше в поисковике посмотрите, статей об этом много и наверняка информации оттуда вы получите больше, чем вам могут сходу написать сюда
Хотя в основном однотипные статьи, редко встречается что-то особенное, но поискать сотит, не так ли) | |
| |
|
|
| |
|
|
| |
для: Arfey
(14.06.2009 в 23:31)
| | | >или хотябы "О хоть какой-то надежности"
Осетрина не бывает второй свежести. Делать надо хорошо. Плохо оно само получится.
Основная защита строится на правильной обработке, а не на запрете. Только сразу учтите, что htmlspecialchars() - это не правильная обработка. | |
| |
|
|
| |
|
|
| |
для: Николай2357
(15.06.2009 в 00:39)
| | | "Njkmrj chfpe exnbnt? xnj" - Только сразу учтите, что (перевод с кракозябры) | |
| |
|
|
| |
|
|
| |
для: Diplex
(15.06.2009 в 00:44)
| | | Спасибо.))) | |
| |
|
|
