|
SQL baze podataka - Sponzor: Baze-Podataka.net MySQL, MSSQL, Oracle, Access, ODBC. Ako imate problem brže i preciznije ćete dobiti odgovor ako priložite strukturu tabela ili skript koji kreira tabele i puni ih test podacima umesto što to problem opisujete samo rečima. Sponzor: Baze-Podataka.net - Blog o bazama podataka |
|
Alati teme | Način prikaza |
|
17. 03. 2007. | #1 |
Psychedelictrance freak
Wrote a book
|
Nije dovoljno koristiti samo mysql_real_escape_string jer u odredjenim situacijama (visestruki kveriji u jednom pozivu funkcije) je moguce zaobici ovaj vid zastite ...
Npr: PHP kôd:
p.s. mysql_query() ne podrzava visetruke kverije u jednom pozivu ali npr u SQLlite i PostgreSQL funkcijama je ovo moguce izvesti. Sledeci problem je kod LIKE operatora, ukoliko imamo neke kverije koji rade pretrazivanje baze sa ovim operatorom i plus se sve to nalazi u petlji, moze doci do DoS napada na bazu. Tj ubacivanjem % ili _ karaktera u string koji se trazi moze se iskomplikovati upit i na taj nacin "pojesti" resurse mysql servera. Ovo nije slucaj na koji cesto nailazimo ali je dobro znati da mysql_real_escape_string ne eskejpuje % i _ karaktere, vec je potrebno uraditi ovo "rucno" (npr: str_replace). Ovo su samo par primera ima ih jos puno ali mislim da je dovoljno za pocetak Samo jos par napomena: - Nikad se ne oslanjajte na automatsko eskejpovanje (magic quotes) - Ukoliko je moguce koristite "prepared statement" metod: MySQL Improved Extension, ...
__________________
Testiranje bezbednosti web aplikacija |
17. 03. 2007. | #2 |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
provera tipa varijable, mod_secure, mysqli bind.
|
18. 03. 2007. | #3 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
Evo da rezimiram, za one sa jeftinijim ulaznicama 1. Ako je ikako moguce koristiti prepared statements. Ne samo sto je sigurnije, vec je i mnogo efikasnije kad se isti SQL izvrsava vise puta, samo se menjaju parametri. Mysql drajveri to ne podrzavaju, ali mysqli, pdo, postgres podrzavaju, tako da samo php4 + mysql kombinacija imaju problem. 2. Ako vozimo php4 i mysql (jos uvek najcesca varijanta) onda je potrebno uraditi sledece:
Ovde $a treba escapeovati samo sa mysql_real_escape_string, dok za $b moramo da koristimo i addcslashes i to je to... a evo i moja funkcija za escape koja mislim da lepo sljaka: PHP kôd:
__________________
Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 18. 03. 2007. u 00:34. |
|
18. 03. 2007. | #4 |
Super Moderator
Knowledge base
Datum učlanjenja: 02.10.2006
Lokacija: Niš
Poruke: 1.618
Hvala: 263
275 "Hvala" u 104 poruka
|
i brojeve konvertovati u integer:
PHP kôd:
|
18. 03. 2007. | #5 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
18. 03. 2007. | #6 | |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
Citat:
|
|
18. 03. 2007. | #7 | ||
Psychedelictrance freak
Wrote a book
|
Citat:
Citat:
__________________
Testiranje bezbednosti web aplikacija Poslednja izmena od Ivan : 18. 03. 2007. u 14:15. |
||
22. 03. 2007. | #8 | |
Milan Cvejic
Wrote a book
|
Citat:
__________________
http://weevify.com |
|
22. 03. 2007. | #9 |
Psychedelictrance freak
Wrote a book
|
Mozes malo da pojasnis sta si time hteo da kazes ?
__________________
Testiranje bezbednosti web aplikacija |
22. 03. 2007. | #10 | |
Milan Cvejic
Wrote a book
|
Citat:
__________________
http://weevify.com |
|
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Kod kojem ne treba dokumentacija... | mangia | Opušteno | 10 | 12. 10. 2009. 21:27 |
Glasanje: prevencija "SQL injection" | Dragi Tata | SQL baze podataka - Sponzor: Baze-Podataka.net | 26 | 20. 09. 2009. 00:02 |
Treba mi secondary DNS | misk0 | Web aplikacije, web servisi i software | 1 | 18. 06. 2009. 20:47 |
Treba nam Robocop :) | bluesman | Opušteno | 3 | 17. 12. 2007. 18:21 |
PHP email injection | MorenoArdohain | Programiranje | 0 | 07. 01. 2006. 22:32 |