Московское время -
| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
PIZ/D@KLUV))
Гость
|
 Добавлено: Ср Янв 09, 2008 5:27 am
Заголовок сообщения: SQL ИНЬЕКЦИИ |
 |
|
| Кто знает хоть чтонить о них расскажите пож-та |
|
| Вернуться к началу |
|
 |
evros
ГигаФлудер
Зарегистрирован: 18.05.2006
Сообщения: 2415
Откуда: из чертогов безмолвия
|
Добавлено: Ср Янв 09, 2008 9:48 am
Заголовок сообщения: |
|
|
На хакер.ру и на античат.ру
_________________
Wait and bleed... |
|
| Вернуться к началу |
|
|
Style
Админчег
Зарегистрирован: 30.07.2003
Сообщения: 4251
Откуда: все эти тролли?
|
Добавлено: Пт Янв 25, 2008 12:32 pm
Заголовок сообщения: |
|
|
Суть инъекции - в несанкцианированном выполнение SQL-кода на сервере. Сама инъекция может быть выполнена через GET, POST параметры, а также COOKIES и даже ServerInfo  И выполнена она может быть лишь в случае не правильно проверки в коде на сервере этих входных параметров.
Классический пример на PHP:
$anyID = $_POST['anyID']; //получение параметра
$qry = 'select * from anytable where anyID='.$anyID; //формирование SQL запроса
предположим атакующий посылает в качестве параметра anyID не integer число как полагалось, а строку '1; drop database mybase;'
и сервер выполняет следующий код
select * from anytable where anyID=1; drop database mybase;
Чтобы этого не допустить на сервере достаточно привести переменную
anyID к integer.
$qry = 'select * from anytable where anyID='.intval($anyID);
echo intval( '1; drop database mybase;'); //выведит 1;
_________________
Масло масляное! |
|
| Вернуться к началу |
|
|
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
|
|
|
