| 1.1, Аноним (1), 08:03, 08/01/2005 [ответить]
| +/– |
Блин ну прикольно )
Только вот еще бы знать какой там запрос на sql сервере делается ) | | |
| 1.2, Moralez (??), 10:28, 08/01/2005 [ответить]
| +/– |
 иногда в поле ввода пишешь lala\00 и она (искомая строка) на экран и вываливается :)
| | |
| 1.3, Ося (??), 15:45, 08/01/2005 [ответить]
| +/– | |
Извините, но это же детский лепет, кто вам без разбора запустит параметры в запрос, к тому же, смысла там на одно предложение, остальное рассказ о синтаксисе SQL... | | |
| |
| 2.4, uldus (ok), 21:59, 08/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Извините, но это же детский лепет, кто вам без разбора запустит параметры
>в запрос,
Читая BUGTRAQ, видится что половина форумов и прочих движков наподобие phpnuke, таки пускают. phpBB яркий пример из последнего.
| | |
|
| 1.5, Аноним (-), 03:36, 10/01/2005 [ответить]
| +/– | |
достаточно для всех параметров использовать escape спецсимволов (такие ф-ции есть в клиентских либах всех серверных СУБД), например pg_escape_string, mysql_escape_string etc и все атаки уходят в эпоху динозавров | | |
| |
| 2.6, chip (ok), 04:29, 10/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
 > достаточно для всех параметров
к сожалению, это лишь достаточно. Горе девелоперы как разрабатывали небезопасный код, так и продолжают его разрабатывать в 100^n раз наступая на теже грабли. А админам приходится придумывать различные выкрутасы вроде mod_security. | | |
|
| 1.7, scum (??), 12:17, 11/01/2005 [ответить]
| +/– |
> А админам приходится придумывать различные выкрутасы вроде mod_security.
Извиняюсь, а админы теперь тоже проги пишут? | | |
| |
| 2.8, chip (ok), 21:10, 13/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
>> А админам приходится придумывать различные выкрутасы вроде mod_security.
>Извиняюсь, а админы теперь тоже проги пишут?
Извиняться не за что. Как показывает практика и не только проги. Хороший админ должен быть немножко программистом и наоборот.
| | |
|
| 1.9, Аноним (-), 12:22, 23/02/2007 [ответить]
| +/– | |
Все фигня, мужуки. Прикол в том, что тестить аргументы вовсе не обязательно. Томас что говорит? "Use binds,use binds,use binds!" Что это означает? Правильно. use binds! Такие запросы в Оракле _принципиально_ не болеют инъекциями. Попробуйте написать процедурку либо с явными байндами либо с курсором с параметром, позовите через mod_plsql и попытайтесь получится или нет ее инъектнуть. Что? Не слышали о курсорах никогда? RTFM, docs.oracle.com!
Я, пардон, извиняюсь - но пидо....простите, оговорился - программисты что, специально пишут код конкатами? Чтоб ломали всякие киддисы, которые еще только научились select * from dual писать?
Знаете, что? Мое личное мнение говорит мне, что проблема дутая. Она не в Оракле - она в тупых головах. Писать небезопасный код а потом орать, что Оракл, де, маст дай - это как страховать открытую бочку с порохом от пожара. Стоя рядом с окурком в пасти. Дарвиновские лауреаты, блин..... | | |
|
