Комментарии 24
Глаза от ваших листингов вылезают.
И да, «продвинутыми» эти инъекции не назовешь. Скорее самые базовые. Если злоумышленник видит ошибки — это идиотизм разработчика скрипта.
И да, «продвинутыми» эти инъекции не назовешь. Скорее самые базовые. Если злоумышленник видит ошибки — это идиотизм разработчика скрипта.
Идиотизм-то идиотизм, но буквально пару месяцев назад натыкался на подобные сайты, где была возможность проводить инъекции. И, скажу я вам, сайты довольно-таки престижных компаний. Но ихние (произнести слово «их» корректно не поворачивается язык) программисты видимо никогда и не слышали о подобном чуде, как сокрытие ошибок )
Ну так беда в программистах. Мне тяжело представить, где можно найти инъекцию при использовании PDO или подобных оберток.
Вообще, проблема глубже. Проблема в сотнях самоучителей PHP, которые до сих пор учат подходам PHP4, использованию чистого SQL (это и ASP касается) и т.д.
Вообще, проблема глубже. Проблема в сотнях самоучителей PHP, которые до сих пор учат подходам PHP4, использованию чистого SQL (это и ASP касается) и т.д.
Тогда, если копнуть глубже, то проблема в том, что начинающие программисты не умеют учиться по документации, а главное обращать внимание на подписи к функциям, под которыми есть подпись «устарела» или «использовать не рекомендуется» и т.д.
Ведь написать достойный самоучитель вовремя вряд ли возможно, т.к. технологии развиваются слишком бурно )
Ведь написать достойный самоучитель вовремя вряд ли возможно, т.к. технологии развиваются слишком бурно )
Автор, это боян. Годов 2009-х примерно.
Согласен, что боян, читайте внимательно примечания переводчика ;)
Примечания появились уже после того, как переводчик внимательно прочитал этот комментарий.
я, конечно, не хочу никого сейчас обидеть, но почему стало модно оставлять правки к статье прямо под ней, а не отправлять их в личные сообщения автору, как это обычно раньше делалось…
А по поводу «внимательно примечания переводчика прочитайте» извиняюсь и беру слова обратно. Просто действительно задело.
А по поводу «внимательно примечания переводчика прочитайте» извиняюсь и беру слова обратно. Просто действительно задело.
2009-х годов было много? ))
В общем думаю статья все равно полезная. Всегда есть новички, все с чего-то начинали, и им полезно почитать, чтобы потом не наступать на грабли.
В общем думаю статья все равно полезная. Всегда есть новички, все с чего-то начинали, и им полезно почитать, чтобы потом не наступать на грабли.
НЛО прилетело и опубликовало эту надпись здесь
©2002 Next Generation Security Software Ltd
«select * from users where username = '» + username + "' and password = '" + password + "'"
Для кого вы это переводите? Тем, кто до сих пор использует ЭТО, уже ничего не поможет. Даже в классическом ASP, который кое-где еще доживает свой век, уже были параметризованные запросы.
«select * from users where username = '» + username + "' and password = '" + password + "'"
Для кого вы это переводите? Тем, кто до сих пор использует ЭТО, уже ничего не поможет. Даже в классическом ASP, который кое-где еще доживает свой век, уже были параметризованные запросы.
Извините, но не все разработчики знают столько же сколько вы. Во-первых есть начинающие программисты, которым эта информация будет полезна в образовательных целях, а также это интересна с позиции истории.
Только понимая основы возможно действительно научиться чему-либо
Только понимая основы возможно действительно научиться чему-либо
Перевожу я это для себя, так сказать из исторического любопытства стал интересен процесс зарождения алгоритмов защиты данных. )
Автор, смените заголовок, убережёте себя от кучи минусов. Это не продвинутые иньекции. Это в лучшем случае «базовые sql иньекции. Руководство для чайников»
Должен в комментах уже появится тот, кто скажет три буквы:
PDO
PDO
Use Prepared Statements, Luke
НЛО прилетело и опубликовало эту надпись здесь
1) Материал переведен (дата написания оригинала 2002).
2) Понятно, что из-за того, что я забыл о диахроническом аспекте, поэтому первичный заголовок был «продвинутые...».
3) Если вы знаете интересный материал, по схожей тематике на английском, то можете мне ее скинуть, переведу этот материал, если он покажется мне интересным и у меня будет свободное время. :)
Более того, нельзя начинать изучать тему, не зная с чего все начиналось, но наши многие видимо этого не понимают. Предыдущего опыта именно в попытке что-то взломать у меня не было, однако при написании кода, я использую общепризнанные методы защиты, не понимая как этим может воспользоваться редиска — нехороший человек.
2) Понятно, что из-за того, что я забыл о диахроническом аспекте, поэтому первичный заголовок был «продвинутые...».
3) Если вы знаете интересный материал, по схожей тематике на английском, то можете мне ее скинуть, переведу этот материал, если он покажется мне интересным и у меня будет свободное время. :)
Более того, нельзя начинать изучать тему, не зная с чего все начиналось, но наши многие видимо этого не понимают. Предыдущего опыта именно в попытке что-то взломать у меня не было, однако при написании кода, я использую общепризнанные методы защиты, не понимая как этим может воспользоваться редиска — нехороший человек.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Базовые sql-инъекции в приложениях, использующих язык SQL. Руководство для чайников