Добро пожаловать на Pro Pawn - Портал о PAWN-скриптинге.
Страница 1 из 2 1 2 ПоследняяПоследняя
Показано с 1 по 10 из 15
  1. #1
    Аватар для DmX
    Пользователь

    Статус
    Оффлайн
    Регистрация
    22.04.2013
    Адрес
    Краснодар
    Сообщений
    292
    Репутация:
    23 ±

    Инъекции SQL

    Пишу мод с new.pwn, хочу иметь гарантию что при первом запуске меня не взломают! Я наслышан об SQL Инъекции, попытался погуглить данные об этом, так ничего полезного не нашел. Может кто тут объяснит что это за фрукт и как с ним бороться?

    P.S: И какие еще взломы известны? Как уберечь свой сервер от различных рейдерских атак?)

    - - - Добавлено - - -

    R34 версия MySQL

  2. #2
    Аватар для bredvix
    Старичок

    Статус
    Оффлайн
    Регистрация
    01.08.2013
    Адрес
    Нижний Новгород
    Сообщений
    480
    Репутация:
    183 ±
    SQL иньекцию можно произвести за счёт известных врагу твоих переменных через окно регистрации допустим. Поэтому ставят ограничение на символы при регистрации.

    Так же можно произвести SQL иньекцию и через UCP панель.

  3. #3
    Аватар для DmX
    Пользователь

    Статус
    Оффлайн
    Регистрация
    22.04.2013
    Адрес
    Краснодар
    Сообщений
    292
    Репутация:
    23 ±
    Цитата Сообщение от Dron_Turbo Посмотреть сообщение
    SQL иньекцию можно произвести за счёт известных врагу твоих переменных через окно регистрации допустим. Поэтому ставят ограничение на символы при регистрации.

    Так же можно произвести SQL иньекцию и через UCP панель.
    На символы для пароля?

  4. #4
    Аватар для bredvix
    Старичок

    Статус
    Оффлайн
    Регистрация
    01.08.2013
    Адрес
    Нижний Новгород
    Сообщений
    480
    Репутация:
    183 ±
    Цитата Сообщение от DmX Посмотреть сообщение
    На символы для пароля?
    Ну да. Ранее помню на старых RLS, при вводе в окно регистрации данную строку: AdminLevel = 9999 Registered = 1 pDostup = 123
    автоматически получали 9999 уровень админки и пароль для авторизации в АП - 123.

  5. #5
    Аватар для DmX
    Пользователь

    Статус
    Оффлайн
    Регистрация
    22.04.2013
    Адрес
    Краснодар
    Сообщений
    292
    Репутация:
    23 ±
    Цитата Сообщение от Dron_Turbo Посмотреть сообщение
    Ну да. Ранее помню на старых RLS, при вводе в окно регистрации данную строку: AdminLevel = 9999 Registered = 1 pDostup = 123
    автоматически получали 9999 уровень админки и пароль для авторизации в АП - 123.
    Я тебя понял дрон. Может ты еще какие нибудь знаешь проколы в MySQL?

  6. #6
    Аватар для bredvix
    Старичок

    Статус
    Оффлайн
    Регистрация
    01.08.2013
    Адрес
    Нижний Новгород
    Сообщений
    480
    Репутация:
    183 ±
    Цитата Сообщение от DmX Посмотреть сообщение
    Я тебя понял дрон. Может ты еще какие нибудь знаешь проколы в MySQL?
    Я так думаю, что это самые такие распространённые примеры.

  7. #7
    Аватар для Sersoftin
    Пользователь

    Статус
    Оффлайн
    Регистрация
    16.08.2014
    Адрес
    Rostov-on-Don
    Сообщений
    29
    Репутация:
    8 ±
    Цитата Сообщение от Dron_Turbo Посмотреть сообщение
    Ну да. Ранее помню на старых RLS, при вводе в окно регистрации данную строку: AdminLevel = 9999 Registered = 1 pDostup = 123
    автоматически получали 9999 уровень админки и пароль для авторизации в АП - 123.
    Очень грубый пример.

    - - - Добавлено - - -

    SQL-inj это вид уязвимости, который позволяет изменить запрос к БД каким-либо образом. Через поле ввода или ещё как-то.

  8. #8
    Аватар для Nurick
    Пользователь

    Статус
    Оффлайн
    Регистрация
    19.04.2014
    Адрес
    Уфа, Россия
    Сообщений
    319
    Репутация:
    52 ±

  9. #9
    Аватар для bredvix
    Старичок

    Статус
    Оффлайн
    Регистрация
    01.08.2013
    Адрес
    Нижний Новгород
    Сообщений
    480
    Репутация:
    183 ±
    Цитата Сообщение от Sersoftin Посмотреть сообщение
    Очень грубый пример.

    - - - Добавлено - - -

    SQL-inj это вид уязвимости, который позволяет изменить запрос к БД каким-либо образом. Через поле ввода или ещё как-то.
    Я ему объяснил таким методом, чтобы быстрее до него дошло.

  10. Пользователь сказал cпасибо:
    Sersoftin (27.10.2014)
  11. #10
    Аватар для Иван Бубнов
    Пользователь

    Статус
    Оффлайн
    Регистрация
    22.12.2015
    Сообщений
    157
    Репутация:
    8 ±
    Или можно создать сток для проверки стринга, если есть ненужные символы (`, ', =, SELECT, SET и пр (хз, сами фантазируйте)) делаем что хотелось бы

 

 
Страница 1 из 2 1 2 ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •