forum.opennet.ru - "OpenNews: Борьба с подстановкой SQL кода через PHP скрипты. ..." (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Борьба с подстановкой SQL кода через PHP скрипты. ..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Борьба с подстановкой SQL кода через PHP скрипты. ..."
Сообщение от opennews on 17-Окт-05, 00:16
Опубликована третья глава книги "php\|architect's Guide to PHP Security" - "SQL Injection (http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf)" (pdf), в которой рассматривается техника подстановки SQL кода злоумышленником и средства PHP для борьбы с данным видом атак. Также, вышла серия статей про кэширование отдаваемого контента и результатов SQL запросов в PHP скриптах: - "Caching Result Sets in PHP: Cost-efficient PHP acceleration (http://www.devshed.com/c/a/PHP/Caching-Result-Sets-in-PHP-Costefficient-PHP-acceleration/)"; - "Caching Result Sets in PHP: The Barebones of a Caching Class (http://www.devshed.com/c/a/PHP/Caching-Result-Sets-in-PHP-The-Barebones-of-a-Caching-Class/)"; - "Caching Result Sets in PHP: A Content-Change Triggered Caching System (http://www.devshed.com/c/a/PHP/Caching-Result-Sets-in-PHP-A-ContentChange-Triggered-Caching-System/)" URL: http://dev.mysql.com/tech-resources/articles/guide-to-php-security.html Новость: http://www.opennet.me/opennews/art.shtml?num=6269
Cообщить модератору \| Наверх \| ^

Оглавление

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., ЦККПСС, 00:16 , 17-Окт-05, (1)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., sash, 11:14 , 17-Окт-05, (4)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., wfx, 15:43 , 17-Окт-05, (7)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., si, 20:15 , 17-Окт-05, (9)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., THESERG, 01:11 , 17-Окт-05, (2)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., impatt, 05:58 , 17-Окт-05, (3)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., root, 11:44 , 17-Окт-05, (5)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., citrin, 22:57 , 17-Окт-05, (10)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., Аноним, 01:52 , 20-Окт-05, (12)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., gugu, 14:20 , 17-Окт-05, (6)
Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., scum, 17:52 , 17-Окт-05, (8)

Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..., Dimez, 08:53 , 19-Окт-05, (11)

Сообщения по теме [Сортировка по времени, UBB]

1. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от ЦККПСС on 17-Окт-05, 00:16

Мда, сначала написали тулзу через попу, придумав кучу дырок. Потом пишут книжки, как в попу чопик вставить, чтобы кто-то другой не вставил что похуже... Идиотизм. Эх...

Cообщить модератору | Наверх | ^

4. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от sash (??) on 17-Окт-05, 11:14

SQL injection - уязвимость которая появляется в коде из-за неправильного подхода к реализации, и пхп не имеет к ней отношения. Не программист, и может скажу не то, но если в приложении на java подставить данные из POST или GET прямо в запрос, и код будет уязвим - неужели это проблема джавы, а не человека который написал код.
Все равно что ругать С, за то что при неправильной работе с переменными и памятью может возникнуть buffer owerflow.
Проблема не в пхп, а в тех кто пишет подобный код.

Cообщить модератору | Наверх | ^

7. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от wfx on 17-Окт-05, 15:43

В PHP отсуствует поддержка такой полезности, как "placeholders". Например
на Perl код выглядит примерно так:
$q = new CGI;
$dbh->do("INSERT INTO mytable (key,val) VALUES (?,?)", undef, $q->param('key', $q->param('val'))
or die $dbh->errstr;
После Perl очень тяжело "переучиваться" на особенности работы с СУБД в PHP :-(

Cообщить модератору | Наверх | ^

9. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от si on 17-Окт-05, 20:15

есть в pdo, mysqli, oci, pear::db, adodb

Cообщить модератору | Наверх | ^

2. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от THESERG (??) on 17-Окт-05, 01:11

да запретить просто SQL Injection и никаких проблем

Cообщить модератору | Наверх | ^

3. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от impatt (??) on 17-Окт-05, 05:58

> да запретить просто SQL Injection и никаких проблем
На законодательном уровне :)

Cообщить модератору | Наверх | ^

5. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от root (??) on 17-Окт-05, 11:44

Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин

Cообщить модератору | Наверх | ^

10. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от citrin (ok) on 17-Окт-05, 22:57

> Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин
Статьи писать как раз таки нужно. В надежде на то, что хотя бы кто то из программеров их будет читать.
Очень много сайтов в Росси пишутся программистами, прочитвашими пару книжек про PHP в которых ничего не сказано про безопасность. И пишут насквозь дырявый код, до тех пор пока их сайт кто нибуть не задефейсит. А потом очень злятся на коварных хакеров, которые творят такие "чудеса".
В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в веб-приложениях.
Веб-программисты удиляющие безопасности должное внимание встречаются очень редко. И это отчасти закономерно - заказчика прежде всего волнует функциональность сайта. А даже если кого то и волнует безопасность (а такие заказчики почти не встречаются), то легко можно навешать лапшу, поскольку проверить чужой код на наличие/отсутствие уязвимостецй не будучи экспертом в этой области нельзя.

Cообщить модератору | Наверх | ^

12. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от Аноним on 20-Окт-05, 01:52

>В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание
>таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в
>веб-приложениях.
В ВУЗах (по крайней мере в моем) вообще внимания не уделяют таким вещам. Там люди пишут в курсовиках, что для защиты сервера нужно сторожа нанимать и за это ставят "отлично". А если начинаешь рассказывать про такие вещи - получаешь "низачот" с мотивировкой, что это частности. Потом такие студенты идут работать и пишут соответствующий кривой код. Их никто не научил грамотно писать программы.
Так что статьи такого плана весьма и весьма полезны.

Cообщить модератору | Наверх | ^

6. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от gugu on 17-Окт-05, 14:20

в америке скоро выйдет закон против SQL Injections.

Cообщить модератору | Наверх | ^

8. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от scum (??) on 17-Окт-05, 17:52

>В PHP отсуствует поддержка такой полезности, как "placeholders".
В adodb есть.

Cообщить модератору | Наверх | ^

11. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."

Сообщение от Dimez (??) on 19-Окт-05, 08:53

И кто им пользуется? Ну и ещё он тормозной(тут недавно ссылка на сравнение проскакивала)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
Сообщение от ЦККПСС on 17-Окт-05, 00:16
Мда, сначала написали тулзу через попу, придумав кучу дырок. Потом пишут книжки, как в попу чопик вставить, чтобы кто-то другой не вставил что похуже... Идиотизм. Эх...
Cообщить модератору \| Наверх \| ^


	4. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от sash (??) on 17-Окт-05, 11:14
	SQL injection - уязвимость которая появляется в коде из-за неправильного подхода к реализации, и пхп не имеет к ней отношения. Не программист, и может скажу не то, но если в приложении на java подставить данные из POST или GET прямо в запрос, и код будет уязвим - неужели это проблема джавы, а не человека который написал код. Все равно что ругать С, за то что при неправильной работе с переменными и памятью может возникнуть buffer owerflow. Проблема не в пхп, а в тех кто пишет подобный код.
	Cообщить модератору \| Наверх \| ^


	7. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от wfx on 17-Окт-05, 15:43
	В PHP отсуствует поддержка такой полезности, как "placeholders". Например на Perl код выглядит примерно так: $q = new CGI; $dbh->do("INSERT INTO mytable (key,val) VALUES (?,?)", undef, $q->param('key', $q->param('val')) or die $dbh->errstr; После Perl очень тяжело "переучиваться" на особенности работы с СУБД в PHP :-(
	Cообщить модератору \| Наверх \| ^


	9. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от si on 17-Окт-05, 20:15
	есть в pdo, mysqli, oci, pear::db, adodb
	Cообщить модератору \| Наверх \| ^

2. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
Сообщение от THESERG (??) on 17-Окт-05, 01:11
да запретить просто SQL Injection и никаких проблем
Cообщить модератору \| Наверх \| ^


	3. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от impatt (??) on 17-Окт-05, 05:58
	> да запретить просто SQL Injection и никаких проблем На законодательном уровне :)
	Cообщить модератору \| Наверх \| ^

5. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
Сообщение от root (??) on 17-Окт-05, 11:44
Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин
Cообщить модератору \| Наверх \| ^


	10. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от citrin (ok) on 17-Окт-05, 22:57
	> Да просто криво пишут люди , вот и всё , ведь можно же все "входные" данные проверять а не тузлы всякие писать , или статьи...блин Статьи писать как раз таки нужно. В надежде на то, что хотя бы кто то из программеров их будет читать. Очень много сайтов в Росси пишутся программистами, прочитвашими пару книжек про PHP в которых ничего не сказано про безопасность. И пишут насквозь дырявый код, до тех пор пока их сайт кто нибуть не задефейсит. А потом очень злятся на коварных хакеров, которые творят такие "чудеса". В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в веб-приложениях. Веб-программисты удиляющие безопасности должное внимание встречаются очень редко. И это отчасти закономерно - заказчика прежде всего волнует функциональность сайта. А даже если кого то и волнует безопасность (а такие заказчики почти не встречаются), то легко можно навешать лапшу, поскольку проверить чужой код на наличие/отсутствие уязвимостецй не будучи экспертом в этой области нельзя.
	Cообщить модератору \| Наверх \| ^


	12. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от Аноним on 20-Окт-05, 01:52
	>В ВУЗах про безопасность тоже рассказывают всякую туфту не уделяя должное внимание >таким распространенным ошибкам как переполнение буфера в Си или SQL-инъекции в >веб-приложениях. В ВУЗах (по крайней мере в моем) вообще внимания не уделяют таким вещам. Там люди пишут в курсовиках, что для защиты сервера нужно сторожа нанимать и за это ставят "отлично". А если начинаешь рассказывать про такие вещи - получаешь "низачот" с мотивировкой, что это частности. Потом такие студенты идут работать и пишут соответствующий кривой код. Их никто не научил грамотно писать программы. Так что статьи такого плана весьма и весьма полезны.
	Cообщить модератору \| Наверх \| ^

6. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
Сообщение от gugu on 17-Окт-05, 14:20
в америке скоро выйдет закон против SQL Injections.
Cообщить модератору \| Наверх \| ^

8. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
Сообщение от scum (??) on 17-Окт-05, 17:52
>В PHP отсуствует поддержка такой полезности, как "placeholders". В adodb есть.
Cообщить модератору \| Наверх \| ^


	11. "Борьба с подстановкой SQL кода через PHP скрипты. Кэшировани..."
	Сообщение от Dimez (??) on 19-Окт-05, 08:53
	И кто им пользуется? Ну и ещё он тормозной(тут недавно ссылка на сравнение проскакивала)
	Cообщить модератору \| Наверх \| ^