Комментарии к записи: Безопасное программирование в PHP: SQL-инъекции http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/ Техническая сторона оптимизации или seo для технарей Mon, 15 Mar 2010 02:00:36 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Автор: jeurey http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/comment-page-1/#comment-960 jeurey Tue, 12 Feb 2008 19:16:27 +0000 http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/#comment-960 От cat_id=1+or+1=1 такие вещи не спасут - это вы верно заметили. Однако, от 16-ичного представления и/или полного html-кодирования символов сложения/пробела и т.д. спасают. От cat_id=1+or+1=1 такие вещи не спасут – это вы верно заметили. Однако, от 16-ичного представления и/или полного html-кодирования символов сложения/пробела и т.д. спасают.

]]> Автор: DeveloperGuru.NET http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/comment-page-1/#comment-956 DeveloperGuru.NET Tue, 12 Feb 2008 18:44:37 +0000 http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/#comment-956 Насколько я понимаю, функции mysql_real_escape_string / mysql_escape_string не спасут в описанном в посте случае, когда cat_id=1+or+1=1. Тут, как я понимаю, надо делать привидение в int и обратно в строку (при конкатенации). Это не совсем логично. В .NET параметр cat_id будет типа int, поэтому и передавать надо int, конкатенаций параметров со строкой запроса никто не делает. Насколько я понимаю, функции mysql_real_escape_string / mysql_escape_string не спасут в описанном в посте случае, когда cat_id=1+or+1=1. Тут, как я понимаю, надо делать привидение в int и обратно в строку (при конкатенации). Это не совсем логично.

В .NET параметр cat_id будет типа int, поэтому и передавать надо int, конкатенаций параметров со строкой запроса никто не делает.

]]> Автор: SeoCoder http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/comment-page-1/#comment-923 SeoCoder Sun, 10 Feb 2008 02:47:34 +0000 http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/#comment-923 давайте уважать друг друга и не "выкать". ;) давайте уважать друг друга и не «выкать». ;)

]]> Автор: jeurey http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/comment-page-1/#comment-921 jeurey Sun, 10 Feb 2008 01:05:38 +0000 http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/#comment-921 Я не совсем понимаю, что вы имели ввиду... В php есть функции mysql_real_escape_string / mysql_escape_string, которые служат для экранирования спецсимволов. Данная заметка ориентирована не на описание обеспечения безопасности и панацеи от SQL-инъекций, а нацеливает начинающего/продолжающего программиста на "задуматься". Я не совсем понимаю, что вы имели ввиду…
В php есть функции mysql_real_escape_string / mysql_escape_string, которые служат для экранирования спецсимволов.

Данная заметка ориентирована не на описание обеспечения безопасности и панацеи от SQL-инъекций, а нацеливает начинающего/продолжающего программиста на «задуматься».

]]> Автор: DeveloperGuru.NET http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/comment-page-1/#comment-919 DeveloperGuru.NET Sat, 09 Feb 2008 23:45:43 +0000 http://www.seocoder.org/2008/02/10/bezopasnoe-programmirovanie-v-php-sql-inekcii/#comment-919 Так никакого простого способа защититься от этого в PHP нет? В ASP.NET подобная запись является доказательством полной некомпетентности кодера, т.к. есть SQL параметры, через которые SQL injection не пройдет. Так никакого простого способа защититься от этого в PHP нет?

В ASP.NET подобная запись является доказательством полной некомпетентности кодера, т.к. есть SQL параметры, через которые SQL injection не пройдет.

]]>