Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Социальная инженерия и социальные хакеры. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Форум MySQL
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: Защита от sql - инъекций

следующая тема
 
 автор: сотка   (24.12.2013 в 22:31)   письмо автору
  
 

Всем привет ! Каким образом проверить сайт (свой) на наличие данной уязвимости ? Без ковыряния кода

  Ответить  
 
 автор: Sfinks   (25.12.2013 в 08:11)   письмо автору
  
   для: сотка   (24.12.2013 в 22:31)
 

Без ковыряния кода?
Да тупо забить!
Если сломают, значит уязвимость есть =)
Правда сломать могут и не через sql-инъекцию

  Ответить  
 
 автор: сотка   (25.12.2013 в 19:14)   письмо автору
  
   для: Sfinks   (25.12.2013 в 08:11)
 

Уязвимость есть ,вроде посмотрел все нормально (но по крайней мере назвали мне всех пользователей и БД) подскажете если скину код?

PS : Хочется разобраться один раз по нормальному и понять как защаться от sql - атак !

  Ответить  
 
 автор: Sfinks   (26.12.2013 в 08:02)   письмо автору
  
   для: сотка   (25.12.2013 в 19:14)
 

> но по крайней мере назвали мне всех пользователей и БД
Просто покажите код авторизации. Скорее всего оно там.

> Хочется разобраться один раз по нормальному и понять как защаться от sql - атак !
Элементарно. Просто обрабатывать все не доверенные данные функцией mysqli::real_escape_string() перед отправкой в БД.

  Ответить  
 
 автор: сотка   (26.12.2013 в 18:26)   письмо автору
6.1 Кб
  
   для: Sfinks   (26.12.2013 в 08:02)
 

Авторизации на сайте нет , добавление пользователями сообщениями в прикрепленном файле (до админки они не добрались не смогли узнать каталог админки)

  Ответить  
 
 автор: Jaroslav   (12.01.2014 в 22:40)   письмо автору
  
   для: сотка   (24.12.2013 в 22:31)
 

Используйте PDO и PHP5.5.
По словам "разработчиков" они там уже обо всём позаботились...

  Ответить  
 
 автор: Valick   (12.01.2014 в 23:38)   письмо автору
  
   для: Jaroslav   (12.01.2014 в 22:40)
 

голову свою надо использовать, и будет все нормально и без PDO и не зависимо от версии РНР

  Ответить  
 
 автор: Jaroslav   (13.01.2014 в 02:23)   письмо автору
  
   для: Valick   (12.01.2014 в 23:38)
 

У меня это такой чёрный юмор ))

  Ответить  
 
 автор: Valick   (13.01.2014 в 02:33)   письмо автору
  
   для: Jaroslav   (13.01.2014 в 02:23)
 

ТС и люди читающие этот топик могут принять всё это "за чистую монету". Не стоит шутить такими вещами как безопасность кода.
А если разобраться, то ничего сложного в этом нет, просто надо аккуратно писать код, а не кописпастить откуда ни попадя, и соблюдать несколько правил.

  Ответить  
 
 автор: moonfox   (13.01.2014 в 14:49)   письмо автору
  
   для: Valick   (13.01.2014 в 02:33)
 

все равно mysql функции будут удалены
в самый раз задуматься о pdo

  Ответить  
 
 автор: Valick   (13.01.2014 в 16:10)   письмо автору
  
   для: moonfox   (13.01.2014 в 14:49)
 

а о mysqli_ вы не хотите думать? хотите чтобы все было волшебно?

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования