Инъекция SQL-кода становится большой угрозой, когда злоумышленник может использовать данный вид атаки, чтобы управлять вашими SQL-операторами. Например, ваше приложение может позволить пользователю менять его или ее пароль.
Здесь можно выбрать http://www.tehnocentr.ru/catalog/zaryadki-dlya-noutbukov_2.html.
Файл примера: SQL-Injection/anti/set-password.php
$password = $_REQUEST["password"] ; $userid = $_REQUEST["userid"] ;
$sql = "UPDATE Accounts SET password_hash = SHA2('$password' ) WHERE account id = $userid";
Умелый взломщик, способный предположить, как параметры запроса используются в вашем SQL-операторе, может отправить тщательно подобранную строку, чтобы воспользоваться ими:
http://bugs.example.com/setpass?password=xyzzy&userid=123 OR TRUE
После интерполирования строки из параметра userid в ваше SQL-выражение строка меняет синтаксис оператора. Теперь оператор изменяет пароль каждой учетной записи в базе данных, а не одной определенной:
Файл примера: SQL-Injection/anti/set-password.sql
UPDATE Accounts SET password_hash = SHA2('xyzzy' ) WHERE account_id = 123 OR TRUE.
Опубликовал vovan666
August 17 2013 10:17:26 ·
0 Комментариев ·
4830 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
