ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
26.12.2013, 05:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
956
Репутация:
0
|
|
Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?
|
|
|
|
26.12.2013, 05:55
|
|
Guest
Сообщений: n/a
Провел на форуме:
142623
Репутация:
19
|
|
Сообщение от render22
render22 said:
Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?
Ну дк. не все же юзают pdo\mysqli и прочие билиотеки с поддержкой поготовленных выражений, и вообще любой програмист знает что подготовленные параметры для дураков... фильтрация рег-ками намного надежней! PDO::query вполне себе разрешает любой запрос выполнить.
И выстрелить себе в ногу, тем более куча сайтов по прежнему юзают mysql_, не фильтруют параметры... Ну и не на php же только они пишутся.
|
|
|
|
26.12.2013, 13:05
|
|
Постоянный
Регистрация: 17.12.2008
Сообщений: 353
Провел на форуме:
919131
Репутация:
74
|
|
Ну, видимо, не ушли, т.к. это почти единственный способ взлома (всякие пхп-инъекции встречаются еще реже, а XSS требуют времени и некоторого СИ).
|
|
|
26.12.2013, 13:09
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
Провел на форуме:
2459557
Репутация:
606
|
|
Да уходят уже в прошлое.
|
|
|
|
26.12.2013, 23:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
956
Репутация:
0
|
|
Например, такого вида конструкцию, которая принимает параметры без всяких фильтраций :
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$stmt[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]prepare[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'SELECT * FROM users WHERE id=:id'[/COLOR][COLOR="#007700"])->[/COLOR][COLOR="#0000BB"]execute[/COLOR][COLOR="#007700"](array([/COLOR][COLOR="#DD0000"]':id'[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'id'[/COLOR][COLOR="#007700"]]));[/COLOR][/COLOR]
реально модифицировать? Если да, буду признателен за любые ссылки на информацию либо ваши мысли по этому поводу. |
|
|
|
26.12.2013, 23:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
7782
Репутация:
5
|
|
Сейчас даже браузеры кавычки фильтруют сами в адресных строках..что бы не баловались.
ps:я бы фильтры сделал при таком запросе, мне не внушает доверия)
|
|
|
|
27.12.2013, 12:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
0
Репутация:
0
|
|
Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке
|
|
|
|
27.12.2013, 22:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
956
Репутация:
0
|
|
Сообщение от Comeonbaby
Comeonbaby said:
Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке
Интересно выслушать ваше мнение по поводу актуальных на сегодняшний день методов. Уязвимости типа XSS/include я отметаю сразу, при условии что портал-жертва разрабатывался людьми умнее палки. Брут тем более в прошлом веке. И что же остается ? По поводу PDO ничего конкретного о его уязвимостях мне так и не удалось найти, видимо это железный заслон.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
