Кардинальный метод защиты от XSS и атак по подстановке SQL-запросов

оке. теперь горик-второй подождем это в бд

 

защита от ламо-кодеров ценой увеличения CPU time

 

почему многие считают, что проще написать такую страшную обертку, чем просто заюзать пару простых стандартных функций.Тем более, строки, числа, другие входные данные надо обрабатывать по-разному.

 

Мда, ну и глупость этот чел предложил.

 

А че за функция b() ТО, искал искал ,так и не нашел , че за врапер, просто там еще eval добавляется, мож там еще испонения кода гденить есть ?*

 

Хыыыыыыыыы!!!! Особые обстоятельства детектед!!! Ми просто смотрю в будущее

 

я что то совсем не понял! =(
select * from table where fname=b64d("VehHU.....=")

получается, что я ему отправляю запрос вида
select * from table where fname=b64d("Jw==")
после преобразования получится один фиг
select * from table where fname='
? =\


UPDATE:

все, понял

т.е. помимо использования функций в пхп, еще нужно переписать сорцы всех субд?

З.Ы. Этот треш на равне с БолдженОС прямо... каникулы чтоли такие

 

Метод оказался слишком кардинальным для Античата :\

 

Обидно просто, что реально умные вещи наших ребят остаются потеряным постом в статьях и "Вопросах по уязвимостям", а вот такие вот горе-дефенсеры пиарятся на пустом месте, причем и за счет нашего форума тоже...
И еще обидно за низкую квалификацию специалистов-корреспондентов! =\ упомяну опять же ту же BolgenOS, такую туфту пропустили в массы, распиарили.. неужели в XXI веке нельзя найти сотрудника, имеющего хорошее IT образование? =\

 

Никто не забыт и не что не забыто

Ну нашли что-то, расковыряли, отписали ну и хорошо ну и правильно.. кому надо тот докапаеться и прочтет.. и будет юзать и будет благодарен..

тут наверно работает какой-то принцип всемирного уравновешивания.. еслиб все хорошие мысли по безопасности реализовывались тоже б не чего хорошего не было.. сколько и так дыр каждый день затыкают..

 

+1

Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS оказался не таким уж толковым парнем, судя по этому материалу

Для нормальных кодеров "проблемы SQL инъекций" вообще нет, ибо они знают как работать с данными.

Ну а если кому-то не хватает стандартных функций пыха давно придумали PDO

 

Хорош метод. Все, что достаточно, это пропатчить модуль на php (mysql.so), perl (dbi::mysql), python (не помню) и что там еще у вас, где функция сразу кодировала строку запроса и после отдавала драйверу на обработку. ИМХО, решение имеет место быть, причем начнет действовать сразу и глобально без надобности переписывать весь код.

 

Тогда уж PDO (как написал Jokester), а иначе, как ты в драйвере будешь определять какую часть запроса пользователь наколбасил руками, а какую взял из параметров полученных извне?

Это я к тому, что твой вариант не пашет.

P.S.
Речь только о php, в случае с Java или .Net наличие SQL инъекций вообще непростительно.

 

Логично, об этом я не подумал... В любом случае было и такое:
http://bugs.mysql.com/bug.php?id=18861

Я вообще сторонник жестких проверок передаваемых значений. Не проще ли тогда делать так:

$resname = b64function($fname);
$conn->query(select * from table1 where fname=$resname)

?

 

Погугли на тему PDO, в частности binding parameters.

 

Спасибо буду иметь ввиду, на php не программирую сейчас . Вообще в линке, что я дал есть патч весьма свежий (для 5.х из рассылки) именно для mysql, который включает в себя встроенные функции для кодирования/декодирования.

 

Мы всё обойдём)