ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
13.06.2012, 22:46
|
|
Guest
Сообщений: n/a
Провел на форуме:
30362
Репутация:
1
|
|
На сервере сделал фильтрацию GET, POST если в них встречается все операторы sql типа select, union, insert, update и т.д.
Этот фильтр можно обойти как-нибудь?
допустим бывают ли закодированные инъекции и как от них защититься?
у меня так ток стоит проверки-фильтры перед вводом, выводом в mysql. но на всякий случай решил сделать фильтрацию get & post
еще у меня отключен вывод всех ошибок php
|
|
|
|
13.06.2012, 23:01
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
если проверка не регистра-зависима то обойти не получится, кодировать можно сколько хочешь, но если даже обойдут фильтр то база все равно не принет операторы в кодированном виде
|
|
|
13.06.2012, 23:01
|
|
Постоянный
Регистрация: 23.05.2005
Сообщений: 617
Провел на форуме:
1262031
Репутация:
71
|
|
Почитай фаги, по защите, а так сделай уровни фильтрации и все - у меня почти все типы фильтраций есть. Если ты так боишься за то что расскрутят.
|
|
|
|
13.06.2012, 23:10
|
|
Постоянный
Регистрация: 15.03.2009
Сообщений: 435
Провел на форуме:
4061203
Репутация:
704
|
|
Сообщение от Kruzak
Kruzak said:
На сервере сделал фильтрацию GET, POST если в них встречается все операторы sql типа select, union, insert, update и т.д.
Этот фильтр можно обойти как-нибудь?
допустим бывают ли закодированные инъекции и как от них защититься?
у меня так ток стоит проверки-фильтры перед вводом, выводом в mysql. но на всякий случай решил сделать фильтрацию get & post
еще у меня отключен вывод всех ошибок php
А почему только GET и POST?
|
|
|
|
13.06.2012, 23:13
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
Сообщение от InDuStRieS
InDuStRieS said:
А почему только GET и POST?
ты сколько раз видел иньекцию в put/head/delete/и тп.
методах?
|
|
|
|
13.06.2012, 23:14
|
|
Постоянный
Регистрация: 15.03.2009
Сообщений: 435
Провел на форуме:
4061203
Репутация:
704
|
|
Сообщение от Konqi
Konqi said:
ты сколько раз видел иньекцию в put/head/delete/и тп.
методах?
Я вот не шарю,скажи мне пожалуйста,от чего бывает скуля в хттп заголовках,из-за ошибок скриптов?
|
|
|
|
13.06.2012, 23:17
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
Сообщение от InDuStRieS
InDuStRieS said:
Я вот не шарю,скажи мне пожалуйста,от чего бывает скуля в хттп заголовках,из-за ошибок скриптов?
из за того что данные из http загаловки попадают в sql запрос
но я имел ввиду методы передачи данных
но очевидно что фильтр GET/POST не поможет от иньекций в куках и в хидере запроса
|
|
|
|
14.06.2012, 01:37
|
|
Guest
Сообщений: n/a
Провел на форуме:
142623
Репутация:
19
|
|
Сообщение от None
На сервере сделал фильтрацию GET, POST если в них встречается все операторы sql типа select, union, insert, update и т.д.
Где то тут была тема по этому поводу и там не первый раз писали: mysql_real_escape_string, приведение типов, и не каких велосипедов.
И в mysqli есть какаето фишка типо приготовления запросов которая тоже sql иньекции исключает, ибо приводит к типу.
Вроде шаблоны называться.
Вообще лучше использовать фреймверк для работы с БД и не писать кучу вело-кода.
|
|
|
|
14.06.2012, 14:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
А COOKIE? И в HEAD встречается из-за особенностей скрипта.
|
|
|
|
14.06.2012, 14:56
|
|
Guest
Сообщений: n/a
Провел на форуме:
195266
Репутация:
53
|
|
Самые смачные магазы вечно горят на странице корзины, потому что не фильтруют кукисы
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
