Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?

render22 said:
Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?


Ну дк. не все же юзают pdo\mysqli и прочие билиотеки с поддержкой поготовленных выражений, и вообще любой програмист знает что подготовленные параметры для дураков... фильтрация рег-ками намного надежней! PDO::query вполне себе разрешает любой запрос выполнить.

И выстрелить себе в ногу, тем более куча сайтов по прежнему юзают mysql_, не фильтруют параметры... Ну и не на php же только они пишутся.

Ну, видимо, не ушли, т.к. это почти единственный способ взлома (всякие пхп-инъекции встречаются еще реже, а XSS требуют времени и некоторого СИ).

Да уходят уже в прошлое.

Например, такого вида конструкцию, которая принимает параметры без всяких фильтраций :


PHP:
$stmt->prepare('SELECT * FROM users WHERE id=:id')->execute(array(':id'=>$_GET['id']));

реально модифицировать? Если да, буду признателен за любые ссылки на информацию либо ваши мысли по этому поводу.

Сейчас даже браузеры кавычки фильтруют сами в адресных строках..что бы не баловались.

ps:я бы фильтры сделал при таком запросе, мне не внушает доверия)

Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке

Comeonbaby said:
Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке


Интересно выслушать ваше мнение по поводу актуальных на сегодняшний день методов. Уязвимости типа XSS/include я отметаю сразу, при условии что портал-жертва разрабатывался людьми умнее палки. Брут тем более в прошлом веке. И что же остается ? По поводу PDO ничего конкретного о его уязвимостях мне так и не удалось найти, видимо это железный заслон.