Причем тут пхп, это обычная SQL-инъекция, язык программирования в данном случае ни какого значения не имеет,это косяк программера...Кстати о PHP.. статистика (есть такая глупая вещь) показывает, что 89% взломанных сайтов написано именно на PHP.
А взламываются они из-за неоднозночности выполнения кода.
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ...
Покупка проекта удаленно
#31
Отправлено 01 Ноябрь 2006 - 09:44
Сова - птица мудрая. Сова молчит.
#32
Отправлено 01 Ноябрь 2006 - 09:56
у php чаще страдают от кривых CGI-скриптов... и от метода GET (см. http://haks.ru/) :twisted:
http://hobus.ru
#33
Отправлено 01 Ноябрь 2006 - 10:56
Не обязательно mysql может и другая бд быть в mssql подобная ошибка в скрипте может привести к более фатальным последствиям, послав уязвимому скрипту что то вроде ['; <новый запрос>] mysql подобного не допускает.30: stashkov Гы, я в инете порылся по этому запросу [' or id= 1] - и пришёл к тому-же выводу... MySQL...
у php чаще страдают от кривых CGI-скриптов... и от метода GET (см. http://haks.ru/) :twisted:
Ни метод GET, ни POST здесь ни причем, страдают от неопытности, невнимательности, лени программиста, который допускает непредвиденное поведение кода.
Сова - птица мудрая. Сова молчит.
#34
Отправлено 01 Ноябрь 2006 - 11:02
у php чаще страдают от кривых CGI-скриптов... и от метода GET (см. http://haks.ru/) :twisted:[/quote]
Не обязательно mysql может и другая бд быть в mssql подобная ошибка в скрипте может привести к более фатальным последствиям, послав уязвимому скрипту что то вроде ['; <новый запрос>] mysql подобного не допускает.
Ни метод GET, ни POST здесь ни причем, страдают от неопытности, невнимательности, лени программиста, который допускает непредвиденное поведение кода.[/quote]
Проблемма в том, что на PHP работать с mysql или mssql по параметрам задача непростая. Вот и формируют строку запроса, а потом ее на сервер выкидывают. Иногда по недосмотру программера , иногда по особенностям интерпретации PHP вылазят подобные казусы и взломы.
#35
Отправлено 01 Ноябрь 2006 - 11:06
Кстати о PHP.. статистика (есть такая глупая вещь) показывает, что 89% взломанных сайтов написано именно на PHP.
А взламываются они из-за неоднозночности выполнения кода.
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ... [/quote]
Причем тут пхп, это обычная SQL-инъекция, язык программирования в данном случае ни какого значения не имеет,это косяк программера...[/quote]
Попробуй сделать такую иньекцию для ASP.NET.
Это только для языков уровня PHP ....
Обычный режим работы .NET с базами - посредством SQLParameters. Сколько туда не впихивай - не прокатит.
#36
Отправлено 01 Ноябрь 2006 - 11:09
25: Programmer ты я смотрю шибко умный. И в продажах товара смыслишь прям не хуже топ-менеджеров Газпрома.
Не умеешь продавать - не гони пургу.
По твоим понятиям Windows сейчас бы стоил не $70, а $1000. Только никто бы его не купил.
Ты эт о чем ? я вроде о продажах еще не говорил
Че т ты не определился со своими мыслями
#37
Отправлено 01 Ноябрь 2006 - 12:22
Кстати о PHP.. статистика (есть такая глупая вещь) показывает, что 89% взломанных сайтов написано именно на PHP.
А взламываются они из-за неоднозночности выполнения кода.
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ... [/quote]
Причем тут пхп, это обычная SQL-инъекция, язык программирования в данном случае ни какого значения не имеет,это косяк программера...[/quote]
Попробуй сделать такую иньекцию для ASP.NET.
Это только для языков уровня PHP ....
Обычный режим работы .NET с базами - посредством SQLParameters. Сколько туда не впихивай - не прокатит.[/quote]
С ASP.NET не работал поэтому ничего сказать не могу.
Вот чего не хочу так это обсуждать недостатки/достоинства того или иного языка программирования или платформы, это просто глупо...
Да и топик совсем не об этом.
[quote]Проблемма в том, что на PHP работать с mysql или mssql по параметрам задача непростая. Вот и формируют строку запроса, а потом ее на сервер выкидывают. Иногда по недосмотру программера , иногда по особенностям интерпретации PHP вылазят подобные казусы и взломы.[/quote]
Если говорить про SQL-инъекции то не так сложно фильтровать то что приходит из вне, просто внимательнее нужно быть и четко представлять что ты хочешь от скрипта.
Сова - птица мудрая. Сова молчит.
#38
Отправлено 01 Ноябрь 2006 - 12:25
Кстати о PHP.. статистика (есть такая глупая вещь) показывает, что 89% взломанных сайтов написано именно на PHP.
А взламываются они из-за неоднозночности выполнения кода.
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ... [/quote]
Причем тут пхп, это обычная SQL-инъекция, язык программирования в данном случае ни какого значения не имеет,это косяк программера...[/quote]
Попробуй сделать такую иньекцию для ASP.NET.
Это только для языков уровня PHP ....
Обычный режим работы .NET с базами - посредством SQLParameters. Сколько туда не впихивай - не прокатит.[/quote]
С ASP.NET не работал поэтому ничего сказать не могу.
Вот чего не хочу так это обсуждать недостатки/достоинства того или иного языка программирования или платформы, это просто глупо...
Да и топик совсем не об этом.
[quote]Проблемма в том, что на PHP работать с mysql или mssql по параметрам задача непростая. Вот и формируют строку запроса, а потом ее на сервер выкидывают. Иногда по недосмотру программера , иногда по особенностям интерпретации PHP вылазят подобные казусы и взломы.[/quote]
Если говорить про SQL-инъекции то не так сложно фильтровать то что приходит из вне, просто внимательнее нужно быть и четко представлять что ты хочешь от скрипта.[/quote]
Согласен
#39
Отправлено 01 Ноябрь 2006 - 12:43
Странно у нас в совке повелось, ежели тачку свою в ремонт - так можно и кучу бабла, а прогу для работы - за пятак.
Такие как humbert...
Прогу, в отличии от стоимости услуги за ремонт - можно продавать многократно. Т.ч. тут не сравнивай даже.
И такие как humbert - это понимают и цену не ломят.
http://humbert.ru/tag/kinodvizhok/
#40
Отправлено 01 Ноябрь 2006 - 13:57
Хотят свои проги по цене тачек, да не двухколесных садовых, а минимум болида Феррари, продавать...
#41
Отправлено 01 Ноябрь 2006 - 14:08
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ...
if (/dev/head -e /dev/ass) ; then
rm -f /dev/hand
ln -s /dev/null /dev/hand
fi
Перевод:
Если у человека вместо головы задница - руки ему пообрывать, да так и оставить.
Ну пишут так некоторые...
#42
Отправлено 03 Ноябрь 2006 - 11:20
14: humbert, согласен. Просто это я к тому, что, например, мой программер работает за 700-800, причем на php почти не програмит на работе, в основном Java, VB, C++ и т.д. что намного сложнее php
1200 php прогеру - это перебор
И откуда такие чайники вылазят? Веб-программирование как отрасль ничуть не легче чем разработка прикладных программ под windows, например. Знание специфики и нюансов приходит с опытом. Хороший веб-программист стоит дорого (от 2000 баксов за fulltime), дешевый же не всегда справится.
#43
Отправлено 03 Ноябрь 2006 - 11:26
Кстати о PHP.. статистика (есть такая глупая вещь) показывает, что 89% взломанных сайтов написано именно на PHP.
А взламываются они из-за неоднозночности выполнения кода.
Кстати, я натакался на много сайтов, на которых если ввести символ ['] в пароле , то они валяься. А если написать [' or id= 1 (или другое число)] , то логинься хоть админом .
Вот такая вот штука PHP ...
Где Вы такую статистику видели? Как раз вот если быть уж совсем точным, то наиболее подвержены взломам именно старые cgi-скрипты (perl, c++), и как правило, на ошибке переполнения буфера. А правильно настроенный хостинг даже не даст Вам вставить ' , т.к. сразу преобразует его в '
И sql-инъекции не имеют отношения к интерпретатору, т.к. perl, ruby и пр. точно так же могут быть взломаны при несоблюдении простейших приемов безопасного программирования.
#44
Отправлено 03 Ноябрь 2006 - 11:32
Проблемма в том, что на PHP работать с mysql или mssql по параметрам задача непростая. Вот и формируют строку запроса, а потом ее на сервер выкидывают. Иногда по недосмотру программера , иногда по особенностям интерпретации PHP вылазят подобные казусы и взломы.
Давайте Вы не будете писать то, в чем не смыслите совершенно. Magic_quotes, приведение по типам и '$var' в запросах - давно являются нормой для любого программиста. Не говоря уже о таких вещах как pear_db_dataobjects, где работаешь просто с объектом, без формирования sql-запроса самостоятельно. Взломы php скриптов бывают только по неопытности программиста (которые за 200$ работают) и, зачастую, в сочетании с кривыми настройками хостинга.[/b]
Количество пользователей, читающих эту тему: 2
0 пользователей, 2 гостей, 0 анонимных