Автор Тема: Анти sql иньекция (Прочитано 3062 раз)

Kwazar · « : 25 Февраля 2005, 11:27:06 »

Собственно вопрос вот в чем.
Я обрабатываю все вводимые данные и экранирую эти символы:
<
>
\'
"
(
)
Пропустил ли я какие-нибудь спец-символы, благодаря которым можно будет осуществить sql иньекцию?

commander · « **Ответ #1 :** 25 Февраля 2005, 12:02:24 »

Kwazar
для защиты от атаки sql injection, нужно грамотно стороить sql запросы... в этом случае придеться экранировать только символ \' ...

подробнее о технологии тут:
http://www.unixwiz.net/techtips/sql-injection.html

commander · « **Ответ #2 :** 25 Февраля 2005, 13:42:03 »

Kwazar
ещё неплохая подборочка статей:
http://forums.webscript.ru/showthread.php?s=&threadid=18600&msgnum=6

Guest123 · « **Ответ #3 :** 03 Марта 2005, 19:41:33 »

Простое экранирование ковычки не всегда спасает. Стоит учесть еще и такю ситуацию

http://www.site.ru/news.php?id=43
....
SELECT name, text FROM news WHERE id=$id;

В таком случае даже фильтрация переменной $id не спасет от sql-inj. Достаточно распространенная ошибка "грамотных" программеров, которые не обособляют передаваемые числовые переменные в ковычки.

Новости:

Автор Тема: Анти sql иньекция (Прочитано 3062 раз)

Kwazar

Анти sql иньекция

commander

Анти sql иньекция

commander

Анти sql иньекция

Guest123

Анти sql иньекция