Генератор форм

Для веб-мастера

Реклама


Все заметки с меткой «sql-инъекции»

SQL-инъекции

Рейтинг:
Дата: 30 августа 2010 Просмотров: 12249
Категория: Веб-программирование

SQL-инъекции — встраивание вредоносного кода в запросы к базе данных — наиболее опасный вид атак. С использованием SQL-инъекций злоумышленник может не только получить закрытую информацию из базы данных, но и, при определенных условиях, внести туда изменения.

Уязвимость по отношению к SQL-инъекциям возникает из-за того, что пользовательская информация попадает в запрос к базе данных без должной обработке: чтобы скрипт не был уязвим, требуется убедиться, что все пользовательские данные попадают во все запросы к базе данных в экранированном виде. Требование всеобщности и является краеугольным камнем: допущенное в одном скрипте нарушение делает уязвимой всю систему.

Пример уязвимости

Предположим, имеется скрипт, отображающий список пользователей из данного города, принимающий в качестве GET-параметра id города. Обращение к скрипту будет происходить с помощью HTTP по адресу /users.php?cityid=20

Читать дальше

Облако тегов

Топ комментаторы

Нашли ошибку в тексте

Система Orphus

Простая CRM

Твиттер Facebook Google plus RSS