Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (13) összesen

Téma: sql injection védelem

  1. #1
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás sql injection védelem

    Kedves tapasztalt programozó tagok. Segítségeteket szeretném kérni, hogy sql injekció esetén milyen sql kéréseket kell számba vennem. Eddig ezek vannak:
    -drop table
    -truncate table
    -union select.

    Előre is hálás vagyok



  2. #2
    kow
    kow nem elérhető
    KowDerMei$ter kow logója
    Csatlakozott
    07-05-09
    Hely
    Budapest
    Hozzászólás
    1.447
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Ezt már kérdezted egyszer

    Amúgy korlátozni kell a Mysql-t futtató user jogait, hogy ne tehessen ilyeneket.
    Valamint validálni a beérkező adatokat: számítani valamire (hossz, típus) ha nem az akkor die()



  3. #3
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Kow, hasonlót lehet kérdeztem már, de konkrétan ezt még nem A szkript oldalon nincsen lehetőségem beavatkozásra, vakidálásra, de a suttyó IP-ket attól még gyűjtögetném



  4. #4
    kow
    kow nem elérhető
    KowDerMei$ter kow logója
    Csatlakozott
    07-05-09
    Hely
    Budapest
    Hozzászólás
    1.447
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Ha nincs lehetőséged belenyúlni a scriptbe, akkor csak a szerver konfigurációval játszhatsz... Bár az is több, mint a semmi



  5. #5
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Értelek kow, de picit gondolkodj velem kérlek együtt, milyen módon manipulálható rosszindulatúan a mysql, url bevitel esetén?



  6. #6
    kow
    kow nem elérhető
    KowDerMei$ter kow logója
    Csatlakozott
    07-05-09
    Hely
    Budapest
    Hozzászólás
    1.447
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Röviden: sokféleképpen. Szakirodalmat ajánlok olvasgatásra, nagyon hosszú lenne kifejteni pláne hogy mások megtették részletesen:
    http://help.sap.com/saphelp_nw2004s/...b8/content.htm

    Amit jó ötletnek tartok sql injection ellen az egy korrekt kis mod_rewrite ami nem csak elrejti a php file-t, hanem csak a megfelelő adatokat adja át paraméterként. Ez minden amit tehetsz még a szervercsesztetésen kívűl.



  7. #7
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Zsír, elolvasom mindjárt, tegnap már eléggé szépen szétnéztem ebben a témakörben, de ezt valahogy nem találtam meg.



  8. #8
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    1.024
    Begyűjtött 146 köszönetet
    105 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Csak az adatbázis oldalon elég nehéz megvédeni a usert a saját hülyesége ellen. Hiszen a delete jog sok esetben kell egy felhasználónak, ha magába a scriptbe nem tudsz belenyúlni, de a szerverbe igen, akkor próbálkozz meg egy mysql proxy-val, a mysql.com -ról beszerezhető. Elég jól lehet scriptelni, talán segit a védelemben.


    php esetében még bejöhet az is, hogy a redittell felül definiálod a mysql_query függvényt és ott próbálod meg kiszürni a kártékony kódokat.



  9. #9
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Azon goldokodom, hogy lekérés előtt megvizsgálom az URL karaktereit, ha azok az sql injekcióra jellemző tréfás karaktereket tartalmazzák 403 plusz IP ban.
    Kow iránymutatásával eddig ez a kollekció:
    %20
    \
    \'
    '
    \"
    "
    --
    \-\-
    \=
    \;
    ;
    \#
    #
    truncate
    union
    drop
    delete



  10. #10
    kow
    kow nem elérhető
    KowDerMei$ter kow logója
    Csatlakozott
    07-05-09
    Hely
    Budapest
    Hozzászólás
    1.447
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: sql injection védelem

    Erre amúgy kellene írni egy ****a objektumot. Egyszerű regexpekkel, de lehet, hogy egy nagyon okos fgv is megtenné



Oldal: 1 / 2 12 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •