|
MySQL.RU - Webboard
Вернуться
уязвимость в коде (Александр) 27/03/2011 - 12:16:29
Re: уязвимость в коде (Akina) 27/03/2011 - 17:23:05
Re: уязвимость в коде (Александр) 27/03/2011 - 18:18:30
Re: уязвимость в коде (Akina) 27/03/2011 - 20:11:44
Re: уязвимость в коде (Александр) 27/03/2011 - 20:51:42
Re: уязвимость в коде (Akina) 27/03/2011 - 23:46:22
> Original message text:
> From: Александр - 27/03/2011 - 12:16:29
> Subject:уязвимость в коде
> -----------------
> Наткнулся на статью где расписаны возможные уязвимости движка
> долго думал над написаным проблем не нашел
> все написано на php
> пример:
> $q = mysql_query("SELECT * FROM ".NAME_TABLE." WHERE parent='".$_REQUEST["categoryID"]."'") or die (mysql_error());
> где тут возмоожность иньекции?
>
> предлагается правильный вариант
> $q = mysql_query("SELECT * FROM ".NAME_TABLE." WHERE parent='".(int)$_REQUEST["categoryID"]."'") or die (mysql_error());
>
> согласен чуть более грамотно - но есть ли в этом необходимость?
>
From: Akina - 27/03/2011 - 23:46:22
Subject:уязвимость в коде
-----------------
Но ведь речь о принципе... аллах с ею, с кавычкой - первый запрос получился пусть и не возвращающий записей, но интаксически верный... и он будет выполнен... и второй тоже - с текущими правами... да даже если первый неверен и даст ошибку - второй всё равно будет выполнен.
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
38166
|
|