Полная Версия: О безопасности
Извините, про экранирование я загнул
tar
если тебе не известно как использовать уязвимость, то это еще не значит что никто другой не додумается как её применить.
если тебе не известно как использовать уязвимость, то это еще не значит что никто другой не додумается как её применить.
| Цитата (killer8080 @ 19.04.2013 - 11:37) |
| tar если тебе не известно как использовать уязвимость, то это еще не значит что никто другой не додумается как её применить. |
Тогда подскажите, где можна проверить на уязвимость мой запрос
| Цитата (tar @ 19.04.2013 - 15:01) |
| Тогда подскажите, где можна проверить на уязвимость мой запрос |
не нужно гадать на кофейной гуще, возможно взломать, или нет. Просто всегда обрабатывай данные приходящие из вне, даже если кажется что использовать уязвимость невозможно.
Спасибо за участвие!
| Цитата (Michael @ 19.04.2013 - 07:17) |
| tar, если $_SESSION[admin_login] от юзера как то зависит, то вставится например такое : ' or 1 or login=' В результате и запрос выполнится и условие подойдет к каждой строке таблицы. |
а разве не всплавет ошибка что во первых не найдена такая переменная, и во вторых такой запрос не выполнится так как не задано значение для поля
_____________
аська 615-817, стучите начинающие прогеры, будем вместе прорываться)
| Цитата (Dagot @ 19.04.2013 - 14:59) | ||
а разве не всплавет ошибка что во первых не найдена такая переменная, и во вторых такой запрос не выполнится так как не задано значение для поля |
Вон смотри результирующий текст запроса:
SELECT * FROM `pmd_admin` WHERE login='' or 1 or login=''
Что за переменная?
Какая ошибка в этом запросе?
Почему запрос не выполнится, какое значение не задано?
_____________
There never was a struggle in the soul of a good man that was not hard
Здесь расположена полная версия этой страницы.