Téma: sql injection védelem

Kow, hasonlót lehet kérdeztem már, de konkrétan ezt még nem A szkript oldalon nincsen lehetőségem beavatkozásra, vakidálásra, de a suttyó IP-ket attól még gyűjtögetném

Ha nincs lehetőséged belenyúlni a scriptbe, akkor csak a szerver konfigurációval játszhatsz... Bár az is több, mint a semmi

Értelek kow, de picit gondolkodj velem kérlek együtt, milyen módon manipulálható rosszindulatúan a mysql, url bevitel esetén?

Röviden: sokféleképpen. Szakirodalmat ajánlok olvasgatásra, nagyon hosszú lenne kifejteni pláne hogy mások megtették részletesen:
http://help.sap.com/saphelp_nw2004s/...b8/content.htm

Amit jó ötletnek tartok sql injection ellen az egy korrekt kis mod_rewrite ami nem csak elrejti a php file-t, hanem csak a megfelelő adatokat adja át paraméterként. Ez minden amit tehetsz még a szervercsesztetésen kívűl.

Zsír, elolvasom mindjárt, tegnap már eléggé szépen szétnéztem ebben a témakörben, de ezt valahogy nem találtam meg.

Csak az adatbázis oldalon elég nehéz megvédeni a usert a saját hülyesége ellen. Hiszen a delete jog sok esetben kell egy felhasználónak, ha magába a scriptbe nem tudsz belenyúlni, de a szerverbe igen, akkor próbálkozz meg egy mysql proxy-val, a mysql.com -ról beszerezhető. Elég jól lehet scriptelni, talán segit a védelemben.


php esetében még bejöhet az is, hogy a redittell felül definiálod a mysql_query függvényt és ott próbálod meg kiszürni a kártékony kódokat.

Azon goldokodom, hogy lekérés előtt megvizsgálom az URL karaktereit, ha azok az sql injekcióra jellemző tréfás karaktereket tartalmazzák 403 plusz IP ban.
Kow iránymutatásával eddig ez a kollekció:
%20
\
\'
'
\"
"
--
\-\-
\=
\;
;
\#
#
truncate
union
drop
delete

Erre amúgy kellene írni egy ****a objektumot. Egyszerű regexpekkel, de lehet, hogy egy nagyon okos fgv is megtenné