| |
|
|
| | На сколько уязвим следующий запрос, если не обрабатывать строку $message (она поступает от пользователей)?
mysql_query("insert into tMessage(message) values ('$message')");
|
| |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(21.06.2005 в 17:04)
| | | Я конечно не специалист, но чувствую, что без обработки он НЕСЛАБО уязвим. А если в $message я помещу какой-нибудь скрипт, то при чтении на WEB-странице он выполнится. Обработка нужна, хотя бы примитивная типа htmlspecialchars и замену кавычек. | |
| |
|
|
| |
|
|
| |
для: ms.Net
(21.06.2005 в 17:11)
| | | Нет при чтении из БД текст обрабатывается. Я думаю надо ли его обрабатывать при занесении в таблицу. | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(21.06.2005 в 17:46)
| | | А. Тогда я думаю можно и без этого, но всё равно для профилактики было бы неплохо. Зачем всякое дерьмо в БД хранить. | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(21.06.2005 в 17:04)
| | | У меня не получается придумать SQL-инъекции...
PS Но это не значит, что кто-нибудь другой не придумает, особенно у кого практика в этом деле богатая - лучше не рисковать и обработать переменную $message. | |
| |
|
|
| |
|
|
| |
для: cheops
(21.06.2005 в 18:44)
| | | Вы можете посоветовать кого-либо из тех, "... у кого практика в этом деле богатая..." ? Нужен такой человек, чтобы провести тестирование на уязвимость. За умеренную плату.
По теме: addslashes можно поставить перед добавлением в базу. | |
| |
|
|
