Comments 2
Если бы не бессвязные предложения, то я бы решил, что эту статью писал чат жипити (особенно шулерский список литературы, поскольку без конкретных ссылок это филькина грамота). Потому что как раз со связностью него всё хорошо, в отличие от фактов.
А здесь хромает всё подряд.
"Причиной данной уязвимости способствуют также", "Так как условия '1'='1' - всегда истина" - что, простите? "Пользователь может ввести" - вот прямо целиком SQL запрос, серьёзно?
Чем "отсутствие фильтрации запроса" отличается от "неправильной обработки спецсимволов"? Почему это два разных пункта, а не один? Это если не придираться к самой "фильтрации", которая и сама по себе не имеет смысла.
С каких пор символ подчеркивания стал комментарием?
Лишние символы "evilcode" перезапишут данные за пределами выделенного пространства памяти в хеш-таблице. Теперь злоумышленник может получить полный контроль над сервисом "keySaver" или над всей системой.
Это просто в рамочку и на стену.
При этом собственно "анализа" в статье нет. Просто один раз перечислены банальные уязвимости, и два раза - банальные рекомендации по защите.
Все это очень грустно. В полследнее время на Хабр просто валом повалили такие вот наукообразные статьи, которые со стороны выглядят пристойно, а внутри куча навоза. При том что хомячки всё прилежно хавают, ставя плюсики и добавляя в закладочки.
Безопасность веб-приложений: анализ методов защиты от атак на уровне Backend