[PHP] Возможна ли SQL-инъекция?

Discussion in 'Песочница' started by Romashka_Sky, 11 Jul 2011.

  1. Romashka_Sky

    Romashka_Sky New Member

    Joined:
    11 Jul 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Возможна ли SQL-инъекция, если в строку запроса к БД подставляется нефильтрованное значение $_SERVER['QUERY_STRING']
    ?
     
    #1 Romashka_Sky, 11 Jul 2011
  2. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Возможна.
     
    #2 Chrome~, 12 Jul 2011
  3. OnlyOn

    OnlyOn Banned

    Joined:
    18 Oct 2010
    Messages:
    252
    Likes Received:
    89
    Reputations:
    36
    Не факт.

    Кстати. Почему не используют magic_quotes для защиты от SQL inj?
     
    #3 OnlyOn, 12 Jul 2011
  4. Romashka_Sky

    Romashka_Sky New Member

    Joined:
    11 Jul 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    А пример какой-нибудь можно?
     
    #4 Romashka_Sky, 12 Jul 2011
  5. d1v

    d1v Elder - Старейшина

    Joined:
    21 Feb 2009
    Messages:
    676
    Likes Received:
    331
    Reputations:
    120
    оффтоп:
    используют. но 100% защиты они не дадут, т.к. есть char например.
     
    #5 d1v, 12 Jul 2011
  6. Gifts

    Gifts Green member

    Joined:
    25 Apr 2008
    Messages:
    2,494
    Likes Received:
    807
    Reputations:
    614
    h00lyshit! массиву _SERVER все равно, что там установлено в magic_quotes_gpc
     
    _________________________
    #6 Gifts, 12 Jul 2011
  7. Gifts

    Gifts Green member

    Joined:
    25 Apr 2008
    Messages:
    2,494
    Likes Received:
    807
    Reputations:
    614
    h00lyshit! ну давайте придираться к формулировкам и к тому кто, что подумал)

    Общий вопрос, но при этом только про гет пост куки?

    100% защиты не дадут, и один из примеров - char. Второй из примеров - игнорирование директивой magic_quotes_gpc массива _SERVER.

    Но это так, в качестве придирки

    Romashka_Sky да, возможна, но некоторые браузеры (например FF) принудительно делают urlencode кавычек, а пхп не совершает urldecode для массива _SERVER
     
    _________________________
    #7 Gifts, 12 Jul 2011
    Last edited: 12 Jul 2011
  8. Romashka_Sky

    Romashka_Sky New Member

    Joined:
    11 Jul 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Да. Кавычку можно поставить. А вот пробел уже никак? Ведь результат urlencode() не может содержать пробел
     
    #8 Romashka_Sky, 12 Jul 2011
  9. Gifts

    Gifts Green member

    Joined:
    25 Apr 2008
    Messages:
    2,494
    Likes Received:
    807
    Reputations:
    614
    Romashka_Sky https://forum.antichat.ru/showpost.php?p=1098045&postcount=2
     
    _________________________
    #9 Gifts, 12 Jul 2011
  10. Romashka_Sky

    Romashka_Sky New Member

    Joined:
    11 Jul 2011
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Спасибо
     
    #10 Romashka_Sky, 13 Jul 2011
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.