9:30
11/2/2012

* Ochrona przed SQLi

Świetna ochrona przed SQL injection w wydaniu DailiWTF ;) Chyba wprowadzimy ją do naszych szkoleń z ataku i ochrony webaplikacji ;)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. Made my day :)

    • Same here. Głupota ludzka nie zna granic :|

  2. Czy nie prościej podać w funkcji ereg dozwolone znaki? Ewentualnie czego innego używać niż ten przedstawiony wtf?

  3. Ktoś miał płacone za wierszówkę :)

  4. To jest nic. Kiedyś trafiłem na formularz na jakiejś stronie który miał takie sprawdzanie SQLi w JavaScripcie! :D

  5. To wy nie wiecie ze programiści lubią koło wynajdywać od nowa ?:D

  6. To jest piękne, it’s beautiful :)

  7. ej a czemu spacja niedozwolona w haśle?
    i skoro ją już wykluczyli, to po co wyszukuje ora ze spacjami?
    to jest głupie na każdym poziomie.

  8. Aj tam, htmlspecialchars i jedziem (wycina też ” ‘, a właściwie zamienia na odpowiednie encje, więc chroni przed SQLi)

  9. Może chociaż jedna osoba podałaby dla równowagi link do artykułu, który opisuje prawidłowe metody? Samo naśmiewanie się kojarzy mi się z Onetem. No offence.

    • Artykułów jest pełno w necie(i to na początku, a nie na np 30s), ale i tak wszytko się sprowadza do tego co napisali eMorris i Darek. Można powiedzieć, że filtrowanie chroni też przed XSS, LFI, RFI i pewnie jeszcze czymś o czym teraz nie pamiętam.

  10. E tam, widziałem aplikację w ASP, która po udanym ataku (hmmm…) i panice userów zaczęła usuwać wszystkie apostrofy z inputa, ot tak po prostu :P

  11. Takie coś było w JPortalu swego czasu :)

  12. Do kitu ja mam spacje w haśle czyli już się nie zaloguję
    Nie mówiąc że w jakimś glupim serwisie miałem kiedyś “To be or no to be” to już by wogule by nie przeszło choć słownukowo nie tak łatwo złamać :)

  13. function safeSqlEncode($input, $maxLen)
    {
    if(!strlen($input)) return ‘””‘;
    $chars = str_split(substr($input, 0, $maxLen));
    $output = ”;
    foreach($chars as $char) $output .= sprintf(“%’02X”, ord($char));
    return ‘UNHEX(“‘.$output.'”)’;
    }

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: