Comments on: UPDATE: SQL Injection? - NEM

By: Soczó Zsolt

Soczó Zsolt — Mon, 29 Oct 2007 08:40:54 +0000

Kaz: barom voltam, lsd update.

By: kaz

kaz — Mon, 29 Oct 2007 08:18:16 +0000

Másrészt kicsit furcsa, hogy ilyen részletes infót kiadnak egy hibáról. Ez az infó csak a fejlesztőnek, meg a crackernek hasznos, egy átlag felhasználónak bőven elég információt ad pl: az indexes hiba ablak is ( http://index.hu/kaz ).

By: kaz

kaz — Mon, 29 Oct 2007 08:12:32 +0000

Ezt nem teljesen értem. Ha paraméteres sql-ed van, ahol string típusú a paraméter, akkor a framework nem intézi el a string escape-elését (jobb szót nem tudok rá, bocs)? Azaz ha jól tudom, akkor így sem tudsz sql code injectiont csinálni, csak akkor, ha kézzel rakod össze az sqlt, vagy rosszul tudom?
Másrészt abban igazad van, hogy ahol így van a site felépítve, ott még akár ez utóbbi eset is előfordulhat. Ezért is célszerű, hogyha megfelelő rétegeid vannak és a megfelelő helyeken(!) validálsz.

By: Soczó Zsolt

Soczó Zsolt — Mon, 29 Oct 2007 07:39:45 +0000

Integeren keresztül én se tudok injektálni, de ha ez az oldal így van megírva, az ilyen siteokon érdemes próbálkozni a többivel is, előbb-utóbb találsz olyat, ami stringet vár paramáterül, és akkor nyertél.

By: kaz

kaz — Mon, 29 Oct 2007 05:43:57 +0000

Szia!
Nem szép (sőt baromi ronda, pl. megjelenítési rétegben minden), meg nem is jó a megoldás (using, like, …), de én itt nem látok lehetőséget sql code injection-ra. Elárulnád, hogy hol a lehetőség?
Attila

By: gerleim

gerleim — Sat, 27 Oct 2007 13:43:00 +0000

Ha jól látom az oldalon, aki fejlesztette, oktatja is.
Amúgy meg biztos megpályáztatták, és ez volt a legolcsóbb… (A feladatot pedig mindenki teljesítette: “… Az oldalon beírt paraméterek alapján a rendszer keresést hajt végre. A kategórián belül a látoagatásokat számolja…”)