Меня вообщем интересует такой вопрос:
Можно ли использовать SQL запросы благодоря xss тоесть..
Допустим у нас есть <input name="xaxa" value="'.$_GET['xss'].'" />
Ну я делаю следующую ссылку http://сайт?xss=
Можно ли будет при этом влепить SQL запрос?
Внедрение в XSS SQL запросов
292
Windler
18 мая 2011 г., 11:40
BupTyo3
18 мая 2011 г., 11:58
aka Sex Terror
Туда хоть что влепить можно, но подействует это лишь в том случае если там не будет фильтрации данных, а не сделать фильтрацию в таком коде может только БЫДЛОКОДЕР!
Windler
18 мая 2011 г., 12:01
BupTyo3 (18.05.2011/08:58)Ну это ясно
А не сделать фильтрацию в таком коде может только БЫДЛОКОДЕР!
Туда хоть что влепить можно, но подействует это лишь в том случае если там не будет фильтрации данных
Можешь дать примерчик использования SQL в XSS?
BupTyo3
18 мая 2011 г., 12:55
aka Sex Terror
script.php?var=0; DROP TABLE `users`;
Да и то это подействует лишь в том случае если в запросах переменные не заключены в кавычки(апострофы вернее)
Да и то это подействует лишь в том случае если в запросах переменные не заключены в кавычки(апострофы вернее)
Windler
18 мая 2011 г., 12:57
BupTyo3, thanks..
BupTyo3
18 мая 2011 г., 12:58
aka Sex Terror
И вообще может я не правильно тебя понял, это попадет в содержимое поля ввода и только после нажатия кнопки попадет к скрипту обработчику который в последствии будет все это разбирать. А на той странице где форма, этот запрос совершенно безвреден.
BupTyo3
18 мая 2011 г., 12:59
aka Sex Terror
Windler (18.05.2011/09:57)Та нэма за шо
BupTyo3, thanks..
.gif)
Всего: 7
© 2024, JohnCMS