Московское время -
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
PIZ/D@KLUV)) Гость
|
Добавлено: Ср Янв 09, 2008 5:27 am Заголовок сообщения: SQL ИНЬЕКЦИИ |
|
|
Кто знает хоть чтонить о них расскажите пож-та |
|
Вернуться к началу |
|
|
evros ГигаФлудер
Зарегистрирован: 18.05.2006 Сообщения: 2415 Откуда: из чертогов безмолвия
|
Добавлено: Ср Янв 09, 2008 9:48 am Заголовок сообщения: |
|
|
На хакер.ру и на античат.ру _________________ Wait and bleed... |
|
Вернуться к началу |
|
|
Style Админчег
Зарегистрирован: 30.07.2003 Сообщения: 4251 Откуда: все эти тролли?
|
Добавлено: Пт Янв 25, 2008 12:32 pm Заголовок сообщения: |
|
|
Суть инъекции - в несанкцианированном выполнение SQL-кода на сервере. Сама инъекция может быть выполнена через GET, POST параметры, а также COOKIES и даже ServerInfo И выполнена она может быть лишь в случае не правильно проверки в коде на сервере этих входных параметров.
Классический пример на PHP:
$anyID = $_POST['anyID']; //получение параметра
$qry = 'select * from anytable where anyID='.$anyID; //формирование SQL запроса
предположим атакующий посылает в качестве параметра anyID не integer число как полагалось, а строку '1; drop database mybase;'
и сервер выполняет следующий код
select * from anytable where anyID=1; drop database mybase;
Чтобы этого не допустить на сервере достаточно привести переменную
anyID к integer.
$qry = 'select * from anytable where anyID='.intval($anyID);
echo intval( '1; drop database mybase;'); //выведит 1; _________________ Масло масляное! |
|
Вернуться к началу |
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|
|