- sql injection védelem
-
sql injection védelem
Kedves tapasztalt programozó tagok. Segítségeteket szeretném kérni, hogy sql injekció esetén milyen sql kéréseket kell számba vennem. Eddig ezek vannak:
-drop table
-truncate table
-union select.
Előre is hálás vagyok
-
-
re: sql injection védelem
Ezt már kérdezted egyszer
Amúgy korlátozni kell a Mysql-t futtató user jogait, hogy ne tehessen ilyeneket.
Valamint validálni a beérkező adatokat: számítani valamire (hossz, típus) ha nem az akkor die()
-
-
-
-
re: sql injection védelem
Ha nincs lehetőséged belenyúlni a scriptbe, akkor csak a szerver konfigurációval játszhatsz... Bár az is több, mint a semmi
-
-
re: sql injection védelem
Értelek kow, de picit gondolkodj velem kérlek együtt, milyen módon manipulálható rosszindulatúan a mysql, url bevitel esetén?
-
-
re: sql injection védelem
Röviden: sokféleképpen. Szakirodalmat ajánlok olvasgatásra, nagyon hosszú lenne kifejteni pláne hogy mások megtették részletesen:
http://help.sap.com/saphelp_nw2004s/...b8/content.htm
Amit jó ötletnek tartok sql injection ellen az egy korrekt kis mod_rewrite ami nem csak elrejti a php file-t, hanem csak a megfelelő adatokat adja át paraméterként. Ez minden amit tehetsz még a szervercsesztetésen kívűl.
-
-
re: sql injection védelem
Zsír, elolvasom mindjárt, tegnap már eléggé szépen szétnéztem ebben a témakörben, de ezt valahogy nem találtam meg.
-
-
re: sql injection védelem
Csak az adatbázis oldalon elég nehéz megvédeni a usert a saját hülyesége ellen. Hiszen a delete jog sok esetben kell egy felhasználónak, ha magába a scriptbe nem tudsz belenyúlni, de a szerverbe igen, akkor próbálkozz meg egy mysql proxy-val, a mysql.com -ról beszerezhető. Elég jól lehet scriptelni, talán segit a védelemben.
php esetében még bejöhet az is, hogy a redittell felül definiálod a mysql_query függvényt és ott próbálod meg kiszürni a kártékony kódokat.
-
-
re: sql injection védelem
Azon goldokodom, hogy lekérés előtt megvizsgálom az URL karaktereit, ha azok az sql injekcióra jellemző tréfás karaktereket tartalmazzák 403 plusz IP ban.
Kow iránymutatásával eddig ez a kollekció:
%20
\
\'
'
\"
"
--
\-\-
\=
\;
;
\#
#
truncate
union
drop
delete
-
-
re: sql injection védelem
Erre amúgy kellene írni egy ****a objektumot. Egyszerű regexpekkel, de lehet, hogy egy nagyon okos fgv is megtenné
-
A téma címkéi:
Hozzászólás szabályai
- Új témákat nem hozhatsz létre
- Válaszokat nem küldhetsz
- Fájlokat nem csatolhatsz
- A hozzászólásaidat nem módosíthatod
-
Fórum szabályzat
Könyvjelzők