02.11.2010, 15:27 | #1 |
Магистр
Регистрация: 04.12.2007
Сообщений: 3,680
Вес репутации: 417
|
Защита от SQL инъекции - подмогните плз..
Какие символы надо удалить из добавляемой в базу строки, чтобы инъекция не получилась?
Субд- mysql. Как я понимаю- достаточно убрать точку с запятой и все виды кавычек. Но я подозреваю, что я не доконца это понимаю))) Собсно- подмогните плиз..
__________________
|
02.11.2010, 15:49 | #2 |
Специалист
|
__________________
Не получается воткнуть код на сайт? Могу помочь. ася: 858-368. Рефералам бесплатно |
02.11.2010, 16:03 | #3 |
Мастер
Регистрация: 17.03.2008
Сообщений: 638
Вес репутации: 237
|
|
03.11.2010, 12:35 | #7 |
Специалист
|
Йода, как вставляешь строку, надеюсь, как параметр, а не делаешь конкатенацию?
Вообще еще есть такой вид инъекции: твой запрос + строка вида = ' UNION ALL select ... from таблица_где_хранятся_секретные данные'. Объединение запроса. Там важно, чтобы совпадали кол-во и типы полей в обоих селектах. На практике таких инъекций не встречал, но и практики было мало. В десктопных системах такое просто никто не допустит. Так что, если совсем охота защититься, можно еще проверять на наличие UNION в строке. |
03.11.2010, 12:48 | #8 |
Хитрый жук
Регистрация: 05.12.2007
Адрес: Конаково
Сообщений: 2,987
Вес репутации: 390
|
В общем случае надо экранировать кавычки и проверять типы параметров.
Т.е. если из параметров должен подставляться INT, то и надо проверять что это INT На серче попадался чувачок который за 20$ бодро нашел кучу уязвимостей (в том числе и SQL инъекций) на одном моем сайте (самопис). Контакты не помню.
__________________
|
03.11.2010, 13:34 | #9 |
Мастер
Регистрация: 17.03.2008
Сообщений: 638
Вес репутации: 237
|
Ну вообще в данных формы приходят строковые значения, на тип сложновато проверить, если только по содержимому строки как-то попытаться.
Я лично привожу к нужному типу и потом уже проверяю полученные значения. |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Защита КОНТЕНТА | lbm | Общие вопросы оптимизации | 83 | 21.07.2011 17:49 |
Защита от АГС | vasir | Вопросы от новичков | 12 | 11.10.2010 22:08 |
Подскажите по защите от sql-инъекции | Йода | Разработка и сопровождение сайтов | 38 | 25.06.2010 12:17 |
Защита от дурака | wUUb | Пожелания пользователей системы | 17 | 05.03.2010 23:19 |
Подмогните с голосами :) | NCom | Курилка | 54 | 04.10.2009 01:54 |
Часовой пояс GMT +3, время: 19:47.