Diskusia – Obrana proti útoku SQL injection v PHP
SpäťUpozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.
asanos:15.4.2014 21:20
Před tím by bylo ještě vhodné použít SELECT version() Pokud
se jedna o MySQL s verzí menší než 5 -> information_schem
nebudeš moci použít a budeš muset pouze hádat = Blind SQL
Injection 
__________________________________________________
Ještě je možný způsob obrany s pomocí IDS:
Při použití IDS například zablokujeme použití apostrofů, mezer, nebo
různých příkazů. Ale to je hodně ošidné a většinou to jde stejně
jednoduše obejít, je to spíš obrana proti laikům, než hackerovi...
např.:
- Místo mezery dám + nebo víceřádkový komentář
/(hvězdička)(hvězdička)/.
- Místo apostrofů použijeme funkci char() nebo hexa zápis.
__________________________________________________
Ještě bych dodal, že přes SQLIA jde udělat i DOS útok, nebo kombinovat s
XSS.
Tudíž bych tento typ útoku nepodceňoval.
__________________________________________________
Naprosto nejlepší obrana je přes Prepared
Statements(Připravené dotazy) V php nejlépe za pomocí PDO
+ dodat, že se mají k sobě data spojit až v databázi.
__________________________________________________
Možná s tím označením jako parametrizované dotazy máš
pravdu, ale častěji se setkávám s označením jako připravené, nebo
předpřipravené dotazy... Jedná se pouze o překlad.
Jinak opravdu pěkný článek, vše podstatné jsi vystihl.
Zobrazené 10 správy z 18.