|
|
|
|
|
для: Dazzl
(21.03.2012 в 15:07)
| | Да, принципиально, типы построения инъекций разные.
>просто я все свои данные храню в serialize их доставать и ими пользоваться легче.
Это как раз не важно, значение приобретают те части запроса, которые формируются динамически из GET-параметров. Как правило, они задействуются в WHERE-условии.
PS Попробуйте сами воспроизвести инъекцию, в теме указанной выше. Когда своими руками делаете - это лучше усваивается. Там ничего сложного нет, особенно, когда у вас схема базы данных перед глазами. | |
|
|
|
|
|
|
|
для: cheops
(21.03.2012 в 14:51)
| | а это принципиально различать что в запросе точно число или буква?, я так понял функция intval пропускает тока числа? просто я все свои данные храню в serialize их доставать и ими пользоваться легче. | |
|
|
|
|
|
|
|
для: Dazzl
(21.03.2012 в 14:44)
| | Этого достаточно, если вы правильно применяете mysql_real_escape_string, и если к числовым параметрам применяете intval() или как-то другим способом обеспечиваете гарантию того, что перед вами число. Самый лучший способ, просто научиться составлять SQL-инъекции самому, тогда вы будете уверены в том, что делаете, а не верить в приемы, которые вам предлагают другие люди. Ничего страшного и магического нет, нужно просто спокойно с этой проблемой разобраться и знать, на что способен злоумышленник, а на что нет - у него в руках те же самые инструменты, что и у вас, только вы строите, а он ломает. Чтобы понять логику его действий, да нужно и самому чуть-чуть поломать (разумеется свой код, а вот если вы хотите создать инструмент взлома, тут своим кодам не обойтись - нужно будет ломать других, чтобы понять, как это делать удобнее, но это уж специализация не нашего форума, в этом помогать не будем :). | |
|
|
|
|
|
|
|
для: Dazzl
(21.03.2012 в 14:44)
| | запросы принимаются через htmlspecialchars
htmlspecialchars - защищает совсем от другого и используется при выводе в браузер данных переданных от пользователя | |
|
|
|
|
|
|
|
для: Dazzl
(21.03.2012 в 14:38)
| | Вообще мы в свое время целый задачник написали на тему защиты в Web: "Головоломки на PHP для хакера". Если кратко, то вместо логина можно ввести фрагмент SQL-запроса таким образом, что его логика изменится в нужную сторону злоумышленнику и сайт пропустит вас без всякого пароля. Если вы этого не учитываете, если не экранируете строки, если не приводите числовые параметры к целому - считайте, что вся ваша база полностью подконтрольна злоумышленнику. Причем они как бандиты не сидят сложа руки до тех пор, пока им вас закажут. Они тренируются постоянно, чтобы не терять квалификации, вас могут взломать в рамках такого тренировочного рейда.
PS Если интересно, заведите на форуме MySQL новую тему, можно разобрать как работает SQL-инъекция, лучше всего самому своими руками её составить - когда увидите её в действии, на код будет смотреть совсем другими глазами. | |
|
|
|
|
|
|
|
для: Dazzl
(21.03.2012 в 14:38)
| | Вообщем вся моя защита это запросы принимаются через htmlspecialchars и в базу вводятся через mysql_real_escape_string это я так понял явно мало (( | |
|
|
|
|
|
|
|
для: cheops
(21.03.2012 в 14:34)
| | От SQL-инъекции при входе защита есть
Как это? если можно коротко объесните
Иногда можно пройти без пароля
Как так?
выудить названия таблиц, их структуру можно будет однозначно
Это совсем плохо((((((( | |
|
|
|
|
|
|
|
для: Dazzl
(21.03.2012 в 14:32)
| | От SQL-инъекции при входе защита есть (если она есть, то проверяли ли её)? Иногда можно пройти без пароля... а если можно сменить e-mail, куда отправляется пароль восстановления, то вообще праздник для вора :))) Кроме того, при помощи любой SQL-инъекции на сайте можно все пароли из базы стянуть... это займет некоторое время, но выудить названия таблиц, их структуру можно будет однозначно, было бы время. | |
|
|
|
|
|
|
|
для: Valick
(21.03.2012 в 14:20)
| | С дырами на сайте я спокоен у меня там все до безобразия просто "дом без окон и дверей", простая регистрация с простыми запросами, никакого размещения ссылок и т.д. , а вот по поводу кражи я немного взволнован!
вообщем у меня так:
после регистрации в базу записываться "логен" "имя" "пароль" и без ведома пользователя создается указанный мною ключ в случайном порядке. И после этого любой контакт с сайтом проводиться только после сверения этих 4-параметров, я понимаю что он если сильно захочет то может узнать свой ключ, но украсть чужой!? объясните пожалуйста как? | |
|
|
|
|
|
|
|
для: task
(21.03.2012 в 14:24)
| | Ага :), причем не нужно забывать, что банк с удовольствием сделает тоже самое, если поймает... Я вот сколько случаев знаю, злоумышленники редко себя хорошо защищают (сложно это, много сложнее, чем напасть). А когда квалификация уже вроде позволяет хорошо защититься, предлагают такие деньги за работу, что по карманам шарить уже экономически не выгодно... | |
|
|
|
|