SQL инъекция - лечится ли редиректом?

[Jooz]

Цитата:

Сообщение от natasha

nevius

Это тот который лет 8 назад написан с переменными типа $var вместо $_GET['var'].
Это сито, а не движок.

[natasha]

Jooz, сайту 7 лет. видимо, это то самое сито

[koird]

Цитата:

Сообщение от Vektor'ok

Я так думаю, register_globals выключен, проверить это, если включен выключить и переписать так, чтобы данные брались из $GET и $POST. Все переменные с входящими данными фильтровать, например, есть переменная $user, в которой могут быть только буквы и цифры, вот сделать фильтр, который проверяет наличие других символов, если они присутствуют, то выдавать ошибку или редиректить на 404 и так со всеми этими переменными.

не панацея. Сложнее, конечно будет немного, но...
"нужные" переменные в $GET подсовываются в любом дебаггере. Контроль входных параметров - это правильно, но есть ведь и текст, в котором могут быть любые символы, например кавычки и двоеточия, и ничего там особо не отфильтруешь

SQL код должен быть написан так, чтобы параметры были параметрами, а не лепить SQL-запросы из кусков переданных строк.

[a112]

Цитата:

Сообщение от natasha

a112, да я попробовала - все заходится по паролю и логину.

ОМГ! Точно не хешируются, вот это двиг Попросите вашего прогера чтоб прикрутил хеширование, там пару строк кода добавить в регистрацию и авторизацию. В любом движке глянуть можно как реализовано.

[natasha]

a112, спасибо.

[hecka]

наверняка, помимо той ссылки, что Вам прислали на почту, на вашем сайте есть еще куча sql-инъекций. Решить проблему редиректом с определенной страницы нельзя! Если дадите мне тот адрес, я могу переделать его так, что он будет выглядеть совершенно иначе, а делать тоже самое
А вообще эти инъекции лечатся следующим образом. Каждый из передаваемых скрипту параметров нужно фильтровать. Если это числовой параметр, то нужно проверить его функцией is_numeric, прежде чем вставлять в sql-запрос. Если же параметр текстовый, то достаточно прогонять его через функцию mysql_escape_string().

[natasha]

hecka, спасибо. насколько это трудоемко? сколько часов потребуется для устранения таких проблем?

[hecka]

для одного параметра у меня бы заняло от 5 до 15 минут (в незнакомом для меня движке). Если бы это был мой сайт, то справился бы за 2 минуты. Но проблема в том, что практически на всех сайтах, таких передаваемых параметров ДОФИГА! Даже профессионалы забывают или тупо не замечают какие-либо параметры и делают сайты уязвимыми...
Я думаю, что в Вашем случае, учитывая, что он по поиску работы, там работы на день. Но опять же надо смотреть на сайт...

[Jooz]

natasha, от уровня спеца зависит. Я бы писал двиг с нуля, он там не сильно мудреный в плане архитектуры БД насколько я помню. Написать с нуля без багов и натянуть тот же дизайн 1-2 недели + можно ЧПУ намутить и местами jQuery сделать.

[Vektor'ok]

Цитата:

Сообщение от koird

но есть ведь и текст, в котором могут быть любые символы, например кавычки и двоеточия, и ничего там особо не отфильтруешь

Причем здесь текст, в том то и дело, что все входные данные находятся в массивах $_GET и $_POST, следовательно все переменные, которые внутри движка никак подделать нельзя.
Если каждой входной переменной прописать маску допустимых символов, то любая sql-инъекция становится нерабочей и бесполезной.