Вы проверяете длину входящих данных от пользователей, перед тем как их использовать в запросе к DB?
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
Полная Версия: Проверка длины входящих данных
brevis
Строит "универсальный" взломщик MySQL
Строит "универсальный" взломщик MySQL
| Цитата (walerus @ 27.11.2016 - 00:22) |
| Строит "универсальный" взломщик MySQL |
Нет конечно. Лучший способ защиты, знать откуда могут зайти (я знаю, что тут не обучают взлому, но и вопрос не про это). По существу вопроса кто может ответить?
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
| Цитата (RootPM @ 26.11.2016 - 19:26) |
| Вы проверяете длину входящих данных от пользователей, |
RootPM
А где сам вред длинных данных за пределами, где длина предусмотрена дизайном? Я имею ввиду, что логин, допустим, в блоке помещается до 50 символов, значит максимальная длина - 50 символов, или возраст до 3-х цифр и т.д. Покажи пример самого вреда.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
А где сам вред длинных данных за пределами, где длина предусмотрена дизайном? Я имею ввиду, что логин, допустим, в блоке помещается до 50 символов, значит максимальная длина - 50 символов, или возраст до 3-х цифр и т.д. Покажи пример самого вреда.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
inpost
Конкретно в этот раз я говорю про запросы к DB, например через поле логин можно отправить максимально возможный по длине текст. Ограничение на длину у разных браузеров разное, их можно обойти. Остаётся ограничение на сервере, например в Apache 8 килобайт (раньше было).
Итого: максимально длинный запрос × количество запросов.
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
Конкретно в этот раз я говорю про запросы к DB, например через поле логин можно отправить максимально возможный по длине текст. Ограничение на длину у разных браузеров разное, их можно обойти. Остаётся ограничение на сервере, например в Apache 8 килобайт (раньше было).
Итого: максимально длинный запрос × количество запросов.
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
RootPM
Я о другом, в чём уязвимость? Можно получить доступ к серверу, можно загрузить вредоносный код, получить информацию о сервере? В чём заключается уязвимость длинной строки, расскажи.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я о другом, в чём уязвимость? Можно получить доступ к серверу, можно загрузить вредоносный код, получить информацию о сервере? В чём заключается уязвимость длинной строки, расскажи.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
RootPM
Я например ставлю несколько "проверок"
Я например ставлю несколько "проверок"
HTML, потом в jquery через "свой" обработчик, ну и уже потом, на входе обработчика формы, т.е. в php... если что не так - идут все в сад :lol:
<input type="text" maxlength="число">
| Цитата (RootPM @ 27.11.2016 - 11:36) |
| Конкретно в этот раз я говорю про запросы к DB, например через поле логин можно отправить максимально возможный по длине текст. Ограничение на длину у разных браузеров разное, их можно обойти. Остаётся ограничение на сервере, например в Apache 8 килобайт (раньше было). Итого: максимально длинный запрос × количество запросов. |
Классный текст!
"запросы к DB", "браузер", "Apache"... и абсолютно логичное и предсказуемое "Итого".
Но вопрос, как я понимаю, таки про обрезание.
В базе данных (MySQL) есть колонка с размером 20 символов. При попытке записать туда больше 20 символов мы поднимаем панику или нам пофиг? Соответственно проверяем длину или обрезаем.
После ответа Valick'a можно делать /thread.
_____________
Чатик в телеге
| Цитата (RootPM @ 26.11.2016 - 18:26) |
| Вы проверяете длину входящих данных от пользователей, перед тем как их использовать в запросе к DB? |
Все что приходит от пользователя, должно валидироваться, и только после этого уже может идти речь о сохранении в базу.
_____________
There never was a struggle in the soul of a good man that was not hard
| Цитата (inpost @ 27.11.2016 - 14:00) |
| В чём заключается уязвимость длинной строки, расскажи. |
Не уязвимость, а возможный DDos.
_____________
Все будет офигенно. Кому-то сразу, кому-то постепенно.
RootPM
Я так прикинул и не вижу разницы нагрузки между обрезанием строки до допустимой на уровне PHP или на уровне MySQL. При этом я лишь предположил как это работает в идеальном варианте так как лично не разбирался и если моё предположение верное, то нагрузка одинаковая, а значит и ДДос угрозы одинаковые.
Но даже если перед нами школьник или горе студент который подбирает алгоритм нанести вред твоему сайту, то он скорее всего остановится на загрузке изображений, так как помимо веса изображения будет съедаться дополнительно процессорные ресурсы (или видео-ролики ещё лучше), но если настоящий ддосер, то он даже не будет смотреть где и куда можно какие данные отправлять, просто на корень сайта всё будет слать из миллионы чайников и тостеров и завалит сайт.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я так прикинул и не вижу разницы нагрузки между обрезанием строки до допустимой на уровне PHP или на уровне MySQL. При этом я лишь предположил как это работает в идеальном варианте так как лично не разбирался и если моё предположение верное, то нагрузка одинаковая, а значит и ДДос угрозы одинаковые.
Но даже если перед нами школьник или горе студент который подбирает алгоритм нанести вред твоему сайту, то он скорее всего остановится на загрузке изображений, так как помимо веса изображения будет съедаться дополнительно процессорные ресурсы (или видео-ролики ещё лучше), но если настоящий ддосер, то он даже не будет смотреть где и куда можно какие данные отправлять, просто на корень сайта всё будет слать из миллионы чайников и тостеров и завалит сайт.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
RootPM
если требует задача - да.
Т.е. : имя пользователя(ник) не может быть длиннее 15 символов. Или: проверить длину какого-то ключа, которое всегда имеет одну длину (например - хеша)
если требует задача - да.
Т.е. : имя пользователя(ник) не может быть длиннее 15 символов. Или: проверить длину какого-то ключа, которое всегда имеет одну длину (например - хеша)
RootPM, ко всему сказанному добавлю свое мнение.
Валидация данных обязательна. В БД надо вставлять только то, что разрешено, в том числе с ограничением по длине.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
Валидация данных обязательна. В БД надо вставлять только то, что разрешено, в том числе с ограничением по длине.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
Здесь расположена полная версия этой страницы.