9:30
11/2/2012

* Ochrona przed SQLi

Autor: Piotr Konieczny | Tagi:  

Świetna ochrona przed SQL injection w wydaniu DailiWTF ;) Chyba wprowadzimy ją do naszych szkoleń z ataku i ochrony webaplikacji ;)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.
 
Niebezpiecznik

15 komentarzy

Dodaj komentarz
  1. You laugh you lose 2012.02.11 09:46 | # | Reply

    Made my day :)

    • DeWo 2012.02.11 10:12 | # |

      Same here. Głupota ludzka nie zna granic :|

  2. eMorris 2012.02.11 10:34 | # | Reply

    Czy nie prościej podać w funkcji ereg dozwolone znaki? Ewentualnie czego innego używać niż ten przedstawiony wtf?

  3. zzz1986@o2.pl 2012.02.11 12:36 | # | Reply

    Ktoś miał płacone za wierszówkę :)

  4. morsik 2012.02.11 12:47 | # | Reply

    To jest nic. Kiedyś trafiłem na formularz na jakiejś stronie który miał takie sprawdzanie SQLi w JavaScripcie! :D

  5. Mer 2012.02.11 13:11 | # | Reply

    To wy nie wiecie ze programiści lubią koło wynajdywać od nowa ?:D

  6. cris 2012.02.11 18:03 | # | Reply

    To jest piękne, it’s beautiful :)

  7. kubia 2012.02.12 00:07 | # | Reply

    ej a czemu spacja niedozwolona w haśle?
    i skoro ją już wykluczyli, to po co wyszukuje ora ze spacjami?
    to jest głupie na każdym poziomie.

  8. Darek 2012.02.12 06:25 | # | Reply

    Aj tam, htmlspecialchars i jedziem (wycina też ” ‘, a właściwie zamienia na odpowiednie encje, więc chroni przed SQLi)

  9. Monter 2012.02.12 11:46 | # | Reply

    Może chociaż jedna osoba podałaby dla równowagi link do artykułu, który opisuje prawidłowe metody? Samo naśmiewanie się kojarzy mi się z Onetem. No offence.

    • zzz1986@o2.pl 2012.02.12 18:59 | # |

      Artykułów jest pełno w necie(i to na początku, a nie na np 30s), ale i tak wszytko się sprowadza do tego co napisali eMorris i Darek. Można powiedzieć, że filtrowanie chroni też przed XSS, LFI, RFI i pewnie jeszcze czymś o czym teraz nie pamiętam.

  10. ??? 2012.02.13 10:25 | # | Reply

    E tam, widziałem aplikację w ASP, która po udanym ataku (hmmm…) i panice userów zaczęła usuwać wszystkie apostrofy z inputa, ot tak po prostu :P

  11. kiler129 2012.02.13 17:20 | # | Reply

    Takie coś było w JPortalu swego czasu :)

  12. Damian 2012.03.04 17:06 | # | Reply

    Do kitu ja mam spacje w haśle czyli już się nie zaloguję
    Nie mówiąc że w jakimś glupim serwisie miałem kiedyś “To be or no to be” to już by wogule by nie przeszło choć słownukowo nie tak łatwo złamać :)

  13. Marcin Maziarz 2012.03.05 14:47 | # | Reply

    function safeSqlEncode($input, $maxLen)
    {
    if(!strlen($input)) return ‘””‘;
    $chars = str_split(substr($input, 0, $maxLen));
    $output = ”;
    foreach($chars as $char) $output .= sprintf(“%’02X”, ord($char));
    return ‘UNHEX(“‘.$output.'”)’;
    }

Odpowiadasz na komentarz Marcin Maziarz

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: