Временная шкала ответа Ипатьев на вопрос «Защищают ли подготовленные выражения/переменные полностью от SQL инъекций?»
Текущая лицензия: CC BY-SA 3.0
Редакции сообщения
21 событие
| когда сменить формат | что | кем | лицензия | комментарий | |
|---|---|---|---|---|---|
| 12 янв. 2021 в 10:51 | голос | принят | Алексей Шиманский | ||
| 12 июн. 2020 в 12:52 | история | изменён | Дух сообществаБот |
Commonmark migration
|
|
| 23 мая 2017 в 12:39 | история | изменён | Дух сообществаБот |
replaced http://stackoverflow.com/ with https://stackoverflow.com/
|
|
| 11 апр. 2017 в 15:45 | аудит | Первые сообщения | |||
| 11 апр. 2017 в 15:45 | |||||
| 5 апр. 2017 в 18:36 | аудит | Первые сообщения | |||
| 5 апр. 2017 в 18:36 | |||||
| 4 апр. 2017 в 20:03 | аудит | Первые сообщения | |||
| 4 апр. 2017 в 20:04 | |||||
| 20 мар. 2017 в 11:11 | история | bounty awarded | vp_arth | ||
| 16 мар. 2017 в 10:00 | комментарий | добавлен | VladD |
@Ипатьев: Тьфу, и правда, UNION, что-то я затупил. Спасибо!
|
|
| 16 мар. 2017 в 8:23 | история | изменён | Ипатьев | CC BY-SA 3.0 |
в текст добавлено 634 символа
|
| 16 мар. 2017 в 7:22 | история | изменён | Ипатьев | CC BY-SA 3.0 |
в текст добавлен 161 символ
|
| 16 мар. 2017 в 6:46 | комментарий | добавлен | vp_arth | Может ещё выпуск про это на первом канале организовать? Отсутствие известных фактов взлома не является признаком отсутствия уязвимости | |
| 16 мар. 2017 в 6:30 | история | изменён | Ипатьев | CC BY-SA 3.0 |
в текст добавлено 897 символов
|
| 16 мар. 2017 в 6:21 | комментарий | добавлен | Ипатьев | @vp_arth рекомендую обосновывать с помощью ссылок на реальные взломы или хотя бы на реальный код, подверженный такой атаке. Со ссылками на истерические статьи, педалирующие тему полу-мифической уязвимости через кодировки, можно не утруждаться. Уязвимость, продемонстрированная мной в посте, находится з�� 30 секунд поиском по гитхабу. Если с эмуляцией все так же плохо, то вы без труда найдете пример в подтверждение своей идеи. Удачи :) | |
| 16 мар. 2017 в 6:11 | комментарий | добавлен | vp_arth | @Ипатьев, чуть позже обосную свой комментарий, сейчас времени совсем нет | |
| 16 мар. 2017 в 6:05 | комментарий | добавлен | Ипатьев | "r_e_s по умолчанию заточена под апострофы" - эта странная фраза не имеет ничего общего с реальностью. Как и последующий комментарий. В PDO MySQL э��уляция вкючена по умолчанию. Если всё так с ней плохо, то сеть должна быть наводнена сообщениями о случаях реального взлома. Увы, ни одного не существует. Такие дела. | |
| 16 мар. 2017 в 5:40 | комментарий | добавлен | vp_arth |
чтобы добавлением данных в запрос занимался не программист, а драйвер БД - вот тут-то на сцену и выходят эмуляции, защищающие не больше, чем вышеупомянутый r_e_s.
|
|
| 16 мар. 2017 в 5:37 | комментарий | добавлен | vp_arth | На самом деле, интереснее был бы пример со строками в двойных кавычках в запросе, в то время, как r_e_s по умолчанию заточена под апострофы | |
| 16 мар. 2017 в 4:46 | история | изменён | Ипатьев | CC BY-SA 3.0 |
в текст добавлен 461 символ
|
| 15 мар. 2017 в 21:50 | комментарий | добавлен | VladD |
А можно пример или ссылку на то, как неуместное использование mysqli_real_escape_string приводит к инъекции? Аж интересно стало.
|
|
| 15 мар. 2017 в 16:27 | история | изменён | Ипатьев | CC BY-SA 3.0 |
в текст добавлено 397 символов
|
| 14 мар. 2017 в 14:09 | история | дан ответ | Ипатьев | CC BY-SA 3.0 |