Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   [PHP] Возможна ли SQL-инъекция? (https://forum.antichat.xyz/showthread.php?t=283427)

Romashka_Sky 12.07.2011 00:38
Возможна ли SQL-инъекция, если в строку запроса к БД подставляется нефильтрованное значение $_SERVER['QUERY_STRING']

?

Chrome~ 12.07.2011 01:23
Возможна.

OnlyOn 12.07.2011 01:24
Цитата:
Сообщение от Chrome~
Chrome~ said:
Возможна.
Не факт.

Кстати. Почему не используют magic_quotes для защиты от SQL inj?

Romashka_Sky 12.07.2011 01:27
Цитата:
Сообщение от Chrome~
Chrome~ said:
Возможна.
А пример какой-нибудь можно?

d1v 12.07.2011 01:31
Цитата:
Сообщение от OnlyOn
OnlyOn said:
Не факт.
Кстати. Почему не используют magic_quotes для защиты от SQL inj?
оффтоп:

используют. но 100% защиты они не дадут, т.к. есть char например.

Gifts 12.07.2011 03:42
h00lyshit! массиву _SERVER все равно, что там установлено в magic_quotes_gpc

Gifts 12.07.2011 04:30
h00lyshit! ну давайте придираться к формулировкам и к тому кто, что подумал)

Цитата:
Сообщение от None
Показалось, что вопрос был общий, то есть о GET, POST, COOKIE
Общий вопрос, но при этом только про гет пост куки?

Цитата:
Сообщение от None
оффтоп:
используют. но 100% защиты они не дадут, т.к. есть char например.
100% защиты не дадут, и один из примеров - char. Второй из примеров - игнорирование директивой magic_quotes_gpc массива _SERVER.

Но это так, в качестве придирки

Romashka_Sky да, возможна, но некоторые браузеры (например FF) принудительно делают urlencode кавычек, а пхп не совершает urldecode для массива _SERVER

Romashka_Sky 12.07.2011 05:00
Да. Кавычку можно поставить. А вот пробел уже никак? Ведь результат urlencode() не может содержать пробел

Gifts 12.07.2011 19:10
Romashka_Sky /showpost.php?p=1098045&postcount=2

Romashka_Sky 14.07.2011 00:27
Спасибо


Время: 04:59