Общие > Nавигатор
[mysql] Взлом скриптов, использующих MySQL
Green Kakadu:
На http://securitylab.ru опубликована очень толковая статья на тему SQL injection - весьма популярный способ взлома скриптов, использующих SQL базы. Так что советую ознакомиться, чтоб писать нормальные скрипты.
статья: Посимвольный перебор в базах данных на примере MySQL
несколько цитат:
....
.. для наиболее полного понимания описанного в статье материала необходимо и достаточно чтобы читатель обладал минимальными знаниями языка SQL а также языка PHP на котором будут приведены все примеры уязвимых скриптов.
.. Раньше я не встречал документов описывающих методику использования атак типа внедрения sql кода для получения информации о записях в базе данных на версиях MySQL ниже 4.0. И в разнообразных эксплоитах, которые можно найти в сети, основанных на данном типе уязвимости пишут, что атака осуществима только на версиях поддерживающих UNION. Но гораздо чаще все-же встречаются более низкие версии. =(
Без поддержки обьединения запросов с помощью UNION и без поддержки подзапросов атакующий очень сильно урезан в правах, точнее сказать он ограничен таблицей (или таблицами) с которыми работает уязвимый запрос (запрос в который мы добавляем наш sql код). Кроме информации из таблиц с которыми работает уязвимый запрос атакующий также может получить значения некоторых системных переменных о которых будет рассказано далее, а пока перейдем к получению данных из таблицы.
читать тут: http://www.securitylab.ru/49424.html
Меняздесьдавнонет:
Спасибо за интересную инфу!
Фпихнул в обсуждение ссылочку на пхпфак :-)
Green Kakadu:
еще одна статейка о SQL инъекциях:
http://www.securitylab.ru/45438.html
commander:
Green Kakadu
занимательная статейка... :) распечатал...подчиненных вслух и с выражением заставлю читать.. :)))
Yukko:
обсуждение не менее занимательно, чем статейка...
Навигация
Перейти к полной версии