Comments on: Przewodnik po SQL injection dla developerów PHP http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/ groźne rzeczy schwytane w sieci... Sun, 12 Feb 2012 09:53:21 +0000 hourly 1 http://wordpress.org/?v=3.1.4 By: » Hacking HTML5 – zaawansowane warsztaty z bezpieczeństwa webaplikacji (27 lutego 2012) -- Niebezpiecznik.pl -- http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-58142 » Hacking HTML5 – zaawansowane warsztaty z bezpieczeństwa webaplikacji (27 lutego 2012) -- Niebezpiecznik.pl -- Wed, 11 Jan 2012 12:18:53 +0000 http://niebezpiecznik.pl/?p=1551#comment-58142 [...] OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w [...] [...] OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w [...]

]]> By: » Hacking HTML 5 — nowe szkolenie Niebezpiecznika -- Niebezpiecznik.pl -- http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-21604 » Hacking HTML 5 — nowe szkolenie Niebezpiecznika -- Niebezpiecznik.pl -- Thu, 16 Dec 2010 21:05:44 +0000 http://niebezpiecznik.pl/?p=1551#comment-21604 [...] OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w [...] [...] OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w [...]

]]> By: Koziołek http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3573 Koziołek Fri, 12 Mar 2010 21:05:58 +0000 http://niebezpiecznik.pl/?p=1551#comment-3573 Znowu php z adhd... czy ktoś może przygotować taki materiał o np. JPA. Chętnie zobaczę, że w Javie się też da. Sama prezentacja bardzo fajna i rzeczowa. Kilka elementów trafiło na moją prywatną listę pytań do starających się o stanowisko programisty php z adhd. Znowu php z adhd… czy ktoś może przygotować taki materiał o np. JPA. Chętnie zobaczę, że w Javie się też da.

Sama prezentacja bardzo fajna i rzeczowa. Kilka elementów trafiło na moją prywatną listę pytań do starających się o stanowisko programisty php z adhd.

]]> By: Krzysztof Kotowicz http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3566 Krzysztof Kotowicz Fri, 12 Mar 2010 14:47:32 +0000 http://niebezpiecznik.pl/?p=1551#comment-3566 @Krzysztof Kotlarski Jeśli zmienne, które będą nazwami obiektów pochodzą od Ciebie (programisty) - ok, możesz je escape'ować wg zasad używanej bazy. Ale wtedy to już raczej kwestia składni SQL niż stricte tematu SQL injection, dlatego (+ względy czasowe) nie dałem tego w prezentacji. Co do addslashes() - też myślałem, że nikt tego od lat nie używa. Ale w codziennej praktyce przekonuję się, że niestety jestem w błędzie. Nawet polska wikipedia http://pl.wikipedia.org/wiki/SQL_injection promuje moją ulubioną funkcję. Dzięki za rzeczowe uwagi! @Krzysztof Kotlarski

Jeśli zmienne, które będą nazwami obiektów pochodzą od Ciebie (programisty) – ok, możesz je escape’ować wg zasad używanej bazy. Ale wtedy to już raczej kwestia składni SQL niż stricte tematu SQL injection, dlatego (+ względy czasowe) nie dałem tego w prezentacji.

Co do addslashes() – też myślałem, że nikt tego od lat nie używa. Ale w codziennej praktyce przekonuję się, że niestety jestem w błędzie. Nawet polska wikipedia http://pl.wikipedia.org/wiki/SQL_injection promuje moją ulubioną funkcję.

Dzięki za rzeczowe uwagi!

]]> By: Krzysztof Kotlarski http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3565 Krzysztof Kotlarski Fri, 12 Mar 2010 14:33:06 +0000 http://niebezpiecznik.pl/?p=1551#comment-3565 @Krzysztof Kotowicz Wydawalo mi sie troche dziwne ze wspomniales o addslashes() a o tym nie. Osobiscie nie zdazylo mi sie jeszcze kierowac bezposrednio tresci z inputa gdziekolwiek przed where w (pod)zapytaniu ale nie powstrzymuje sie przed wykorzystywaniem zmiennych wewnetrznych do tego celu. Przy wiekszych ilosciach kodu i TDD latwiej w ten sposob utrzymac pozadek niz za pomoca bialych list no i eliminuje ryzyko zbieznosci nazw ze slowami kluczowymi. Maly brak ale sama prezentacje odbieram calkiem pozytywnie;) @Krzysztof Kotowicz
Wydawalo mi sie troche dziwne ze wspomniales o addslashes() a o tym nie. Osobiscie nie zdazylo mi sie jeszcze kierowac bezposrednio tresci z inputa gdziekolwiek przed where w (pod)zapytaniu ale nie powstrzymuje sie przed wykorzystywaniem zmiennych wewnetrznych do tego celu. Przy wiekszych ilosciach kodu i TDD latwiej w ten sposob utrzymac pozadek niz za pomoca bialych list no i eliminuje ryzyko zbieznosci nazw ze slowami kluczowymi.
Maly brak ale sama prezentacje odbieram calkiem pozytywnie;)

]]> By: Przemek http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3541 Przemek Thu, 11 Mar 2010 23:45:15 +0000 http://niebezpiecznik.pl/?p=1551#comment-3541 Prawdopodobnie już w przyszłym tygodniu umieścimy webcasty zmontowane z materiału jaki udało się nagrać podczas spotkania. Szczegóły w pierwszej kolejności pojawią się na liście owasp-poland (http://www.owasp.org/index.php/Poland - http://lists.owasp.org/mailman/listinfo/owasp-poland) Prawdopodobnie już w przyszłym tygodniu umieścimy webcasty zmontowane z materiału jaki udało się nagrać podczas spotkania. Szczegóły w pierwszej kolejności pojawią się na liście owasp-poland (http://www.owasp.org/index.php/Polandhttp://lists.owasp.org/mailman/listinfo/owasp-poland)

]]> By: Krzysztof Kotowicz http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3540 Krzysztof Kotowicz Thu, 11 Mar 2010 23:41:58 +0000 http://niebezpiecznik.pl/?p=1551#comment-3540 @Krzysztof Kotlarski A to z tej przyczyny, ze nie zaleca sie escape'owania nazw obiektow jako metody zabezpieczenia sie przez SQLi (to jest po prostu dziurawe). Przeczytaj np. tu: http://www.owasp.org/index.php/Guide_to_SQL_Injection#WARNING:_Escaping_table_names Omawiane frameworki maja zwykle metody quoteIdentifier(), ktora raz dziala w miare dobrze, raz tragicznie zle (wycialem to z prezentacji ze wzgledow czasowych). Ale zawsze, jesli parametry z inputa dokleisz do SQLa jako nazwy obiektow (niewazne, czy escape'owane), to az sie prosi o wysypanie zapytania podajac np. nieistniejaca tabelke/kolumne. A wysypanie zapytania to juz jest ZUO. @Krzysztof Kotlarski

A to z tej przyczyny, ze nie zaleca sie escape’owania nazw obiektow jako metody zabezpieczenia sie przez SQLi (to jest po prostu dziurawe). Przeczytaj np. tu: http://www.owasp.org/index.php/Guide_to_SQL_Injection#WARNING:_Escaping_table_names
Omawiane frameworki maja zwykle metody quoteIdentifier(), ktora raz dziala w miare dobrze, raz tragicznie zle (wycialem to z prezentacji ze wzgledow czasowych).

Ale zawsze, jesli parametry z inputa dokleisz do SQLa jako nazwy obiektow (niewazne, czy escape’owane), to az sie prosi o wysypanie zapytania podajac np. nieistniejaca tabelke/kolumne. A wysypanie zapytania to juz jest ZUO.

]]> By: Paweł Goleń http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3517 Paweł Goleń Thu, 11 Mar 2010 13:00:06 +0000 http://niebezpiecznik.pl/?p=1551#comment-3517 Sam programista to jest zwykle POWODEM podatności na SQLi. Im mniej ma okazji na popełnienie błędu, tym lepiej. I o tym między innymi w tej prezentacji jest mowa. Sam programista to jest zwykle POWODEM podatności na SQLi. Im mniej ma okazji na popełnienie błędu, tym lepiej. I o tym między innymi w tej prezentacji jest mowa.

]]> By: Krzysztof Kotlarski http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3513 Krzysztof Kotlarski Thu, 11 Mar 2010 11:58:25 +0000 http://niebezpiecznik.pl/?p=1551#comment-3513 jak dla mnie zabraklo informacji o takim zapisie mysql: SELECT `id`, `name` FROM `some_table`; pgsql: SELECT "id", "name" FROM "some_table"; przy escape'owaniu obiektow, co prawda nie zapobiega to wysypaniu sie zapytania w przypadku wstrzykniecia informacji ale pozwala je wykryc jak dla mnie zabraklo informacji o takim zapisie
mysql: SELECT `id`, `name` FROM `some_table`;
pgsql: SELECT “id”, “name” FROM “some_table”;
przy escape’owaniu obiektow, co prawda nie zapobiega to wysypaniu sie zapytania w przypadku wstrzykniecia informacji ale pozwala je wykryc

]]> By: Komeniusz http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3512 Komeniusz Thu, 11 Mar 2010 11:05:19 +0000 http://niebezpiecznik.pl/?p=1551#comment-3512 Muszę przyznać, że prezentacja została przygotowana bardzo estetycznie. Na pewno przyda się jakiejś grupie osób, niemniej jednak najlepszym narzędziem do obrony przed atakami typu SQLI jest sam programista. Muszę przyznać, że prezentacja została przygotowana bardzo estetycznie. Na pewno przyda się jakiejś grupie osób, niemniej jednak najlepszym narzędziem do obrony przed atakami typu SQLI jest sam programista.

]]> By: Paweł Goleń http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3511 Paweł Goleń Thu, 11 Mar 2010 10:59:21 +0000 http://niebezpiecznik.pl/?p=1551#comment-3511 To ja od siebie dodam ciekawostkę jedną w temacie blind sqli i obchodzenia różnych filtrów: http://blog.didierstevens.com/2010/02/02/quickpost-quasi-tautologies-sql-injection/ Bardzo mi się podobają te "prawie tautologie" :) To ja od siebie dodam ciekawostkę jedną w temacie blind sqli i obchodzenia różnych filtrów:

http://blog.didierstevens.com/2010/02/02/quickpost-quasi-tautologies-sql-injection/

Bardzo mi się podobają te “prawie tautologie” :)

]]> By: Tomasz Kowalczyk http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3504 Tomasz Kowalczyk Thu, 11 Mar 2010 09:56:20 +0000 http://niebezpiecznik.pl/?p=1551#comment-3504 Genialne i kompletne merytorycznie podsumowanie całego problemu, szkoda, że nie mogłem tego oglądać na żywo, bo na pewno autor miał sporo do dodania od siebie. Genialne i kompletne merytorycznie podsumowanie całego problemu, szkoda, że nie mogłem tego oglądać na żywo, bo na pewno autor miał sporo do dodania od siebie.

]]> By: Mariusz http://niebezpiecznik.pl/post/przewodnik-po-sql-injection-dla-developerow-php/#comment-3500 Mariusz Thu, 11 Mar 2010 09:28:29 +0000 http://niebezpiecznik.pl/?p=1551#comment-3500 Przydatne. Dziękować :-). Przydatne. Dziękować :-).

]]>