Актуальность SQL иньекций

Discussion in 'Песочница' started by render22, 26 Dec 2013.

  1. render22

    render22 New Member

    Joined:
    20 Dec 2013
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Здравствуйте. Мне как кодеру интересно узнать, разве с внедрением PDO sql иньекции не ушли в небытье ? Ведь модифицировать подготовленный запрос нереально... Или технологии по ту сторону баррикад сделали шаг вперед ?
     
  2. mironich

    mironich Elder - Старейшина

    Joined:
    27 Feb 2011
    Messages:
    733
    Likes Received:
    73
    Reputations:
    19
    Ну дк. не все же юзают pdo\mysqli и прочие билиотеки с поддержкой поготовленных выражений, и вообще любой програмист знает что подготовленные параметры для дураков... фильтрация рег-ками намного надежней! PDO::query вполне себе разрешает любой запрос выполнить.
    И выстрелить себе в ногу, тем более куча сайтов по прежнему юзают mysql_, не фильтруют параметры... Ну и не на php же только они пишутся.
     
  3. fl00der

    fl00der Moderator

    Joined:
    17 Dec 2008
    Messages:
    1,026
    Likes Received:
    311
    Reputations:
    86
    Ну, видимо, не ушли, т.к. это почти единственный способ взлома (всякие пхп-инъекции встречаются еще реже, а XSS требуют времени и некоторого СИ).
     
    _________________________
  4. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,520
    Likes Received:
    401
    Reputations:
    196
    Да уходят уже в прошлое.
     
    Svan likes this.
  5. render22

    render22 New Member

    Joined:
    20 Dec 2013
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Например, такого вида конструкцию, которая принимает параметры без всяких фильтраций :
    PHP:
    $stmt->prepare('SELECT * FROM users WHERE id=:id')->execute(array(':id'=>$_GET['id']));
    реально модифицировать? Если да, буду признателен за любые ссылки на информацию либо ваши мысли по этому поводу.
     
  6. vegetativniy

    vegetativniy Banned

    Joined:
    23 Dec 2013
    Messages:
    31
    Likes Received:
    10
    Reputations:
    5
    Сейчас даже браузеры кавычки фильтруют сами в адресных строках..что бы не баловались.
    ps:я бы фильтры сделал при таком запросе, мне не внушает доверия)
     
  7. Comeonbaby

    Comeonbaby Banned

    Joined:
    21 May 2013
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Да уходят и сейчас скули это далеко не основной способ взлома и кто так считает остался в xx веке
     
  8. render22

    render22 New Member

    Joined:
    20 Dec 2013
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    Интересно выслушать ваше мнение по поводу актуальных на сегодняшний день методов. Уязвимости типа XSS/include я отметаю сразу, при условии что портал-жертва разрабатывался людьми умнее палки. Брут тем более в прошлом веке. И что же остается ? По поводу PDO ничего конкретного о его уязвимостях мне так и не удалось найти, видимо это железный заслон.
     
    Svan likes this.
Loading...