DreamKiller (30.01.2009/09:04)Глупости. На любом хакерском сайте описаны приемы, как эти самые "магические" кавычки обходить.
Можно через htacces полностью себя обезопасить от sql инъекций, просто включив магические кавычки.
SQL-инъекции
878
AlkatraZ
30 янв 2009 г., 9:59
╭∩╮ (`-`) ╭∩╮
AlkatraZ
30 янв 2009 г., 10:02
╭∩╮ (`-`) ╭∩╮
Роковые ошибки PHP
Практически каждый из нас слышал о «магических» кавычках и их роли в SQL-injection. Но мало кто задумывался, что означает gpc. Если мы обратимся к определению, то там ясно сказано: magic_quotes_gpc=ON автоматически слэширует _GET/_POST/_COOKIE и _REQUEST. А остальное, например, $_FILES, $_ENV, $_SERVER, $_SESSION и множество других глобализаций, никто и не думает слэшировать.
Поняли, чем это грозит???.gif)
А теперь вспомни предыдущий пункт.
Да, ужос!
Юзер-агент, реферер лежат в _SERVER и magic_quotes’ом не обрабатываются.
Значит, если программер не позаботился о фильтре, то репутация продукта висит на волоске. Через юзерагент элементарно пробиваются "магические" кавычки.
И щас, правило хорошего тона (в нашем двиге я именно так и делаю), вообще эти кавычки убирать и фильтровать надежными методами.
Практически каждый из нас слышал о «магических» кавычках и их роли в SQL-injection. Но мало кто задумывался, что означает gpc. Если мы обратимся к определению, то там ясно сказано: magic_quotes_gpc=ON автоматически слэширует _GET/_POST/_COOKIE и _REQUEST. А остальное, например, $_FILES, $_ENV, $_SERVER, $_SESSION и множество других глобализаций, никто и не думает слэшировать.
Поняли, чем это грозит???
А теперь вспомни предыдущий пункт.
Да, ужос!
Юзер-агент, реферер лежат в _SERVER и magic_quotes’ом не обрабатываются.
Значит, если программер не позаботился о фильтре, то репутация продукта висит на волоске. Через юзерагент элементарно пробиваются "магические" кавычки.
И щас, правило хорошего тона (в нашем двиге я именно так и делаю), вообще эти кавычки убирать и фильтровать надежными методами.
Agent
30 янв 2009 г., 11:52
Агент НКВД
DreamKiller (30.01.2009/09:04)Раз ты такой умный,то засунь код который выше в хачек и покажи мне что у тебя получится . Жесть.
ты утомлять начинаеш, харе умничать неподелу.
Можно через htacces полностью себя обезопасить от sql инъекций, просто включив магические кавычки. Правда производительность немного упадёт, на маленьких
З.Ы. На счет кавычек тебе уже ответили.
Вот и сиди и не умничай.
DreamKiller
30 янв 2009 г., 15:03
AlkatraZ (30.01.2009/10:02)хм... незнал
Роковые ошибки PHP
Практически каждый из нас слышал о «магических» кавычках и их роли в SQL-injection. Но мало кто задумывался, что означает gpc. Если мы обратимся к определению, то там ясно с
DreamKiller
30 янв 2009 г., 15:04
Agent (30.01.2009/11:52)какой код, одумайся ты ваще хотябы примерно одупляеш о чём реч идёт
Раз ты такой умный,то засунь код который выше в хачек и покажи мне что у тебя получится . Жесть.
З.Ы. На счет кавычек тебе уже ответили.
Вот и сиди и не умничай.
Agent
30 янв 2009 г., 15:05
Агент НКВД
DreamKiller (30.01.2009/15:04)Ты глазки открой на первой странице и увидишь искомый код. Это ты тут похоже не понимаешь и не знаешь о чем речь.
какой код, одумайся ты ваще хотябы примерно одупляеш о чём реч идёт
DreamKiller
30 янв 2009 г., 15:06
Agent (30.01.2009/15:05)ты ваще чтоли дурачок , м? как код можно писать в htacces?
Ты глазки открой на первой странице и увидишь искомый код. Это ты тут похоже не понимаешь и не знаешь о чем речь.
Agent
30 янв 2009 г., 15:08
Агент НКВД
мля я тему перепутал. В другой теме код предлогают в хачек от скулей запихать
Agent
30 янв 2009 г., 15:09
Агент НКВД
DreamKiller (30.01.2009/15:06)В соседней теме где то один предлогал код засунуть в хачек! Я думал ты пытаешься тоже самое сделать от скулей
ты ваще чтоли дурачок , м? как код можно писать в htacces?
Agent
30 янв 2009 г., 15:12
Агент НКВД
AlkatraZ, Код ,который ты показал вчера,я показал его знакомому. Он когда увидел его и засмеялся. Грит этот код бред полный и ни от чего он не защитит если фильтров нет
Всего: 32
© 2024, JohnCMS