Просмотр полной версии : [PHP] Возможна ли SQL-инъекция?
Romashka_Sky
12.07.2011, 00:38
Возможна ли SQL-инъекция, если в строку запроса к БД подставляется нефильтрованное значение $_SERVER['QUERY_STRING']
?
Chrome~ said:
Возможна.
Не факт.
Кстати. Почему не используют magic_quotes для защиты от SQL inj?
Romashka_Sky
12.07.2011, 01:27
Chrome~ said:
Возможна.
А пример какой-нибудь можно?
OnlyOn said:
Не факт.
Кстати. Почему не используют magic_quotes для защиты от SQL inj?
оффтоп:
используют. но 100% защиты они не дадут, т.к. есть char например.
h00lyshit! массиву _SERVER все равно, что там установлено в magic_quotes_gpc
h00lyshit! ну давайте придираться к формулировкам и к тому кто, что подумал)
Показалось, что вопрос был общий, то есть о GET, POST, COOKIE
Общий вопрос, но при этом только про гет пост куки?
оффтоп:
используют. но 100% защиты они не дадут, т.к. есть char например.
100% защиты не дадут, и один из примеров - char. Второй из примеров - игнорирование директивой magic_quotes_gpc массива _SERVER.
Но это так, в качестве придирки
Romashka_Sky да, возможна, но некоторые браузеры (например FF) принудительно делают urlencode кавычек, а пхп не совершает urldecode для массива _SERVER
Romashka_Sky
12.07.2011, 05:00
Да. Кавычку можно поставить. А вот пробел уже никак? Ведь результат urlencode() не может содержать пробел
Romashka_Sky /showpost.php?p=1098045&postcount=2
Romashka_Sky
14.07.2011, 00:27
Спасибо
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot