- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Боты периодически оставляют комментарии с примерно такими запросами:
"zjgR UNION ALL SELECT NULL,NULL,NULL,NULL,NULL— LCSt"
Комментарии модерируются, такие комменты удаляются.
Чего хотят боты и насколько это опасно? И как с этим бороться?
sql инъекции.
А как конкретно с ними бороться? В гугле не забанили, все статьи из серии "давайте сначала разберёмся, что это такое" и общие рекомендации
А как конкретно с ними бороться? В гугле не забанили, все статьи из серии "давайте сначала разберёмся, что это такое" и общие рекомендации
Проверять всё, что юзеры посылают. Например stripslashes, strip_tags, htmlspecialchars, mysqli_real_escape_string.
Вот этот UNION ALL SELECT NULL,NULL,NULL,NULL,NULL - тебя просто проверяют отвечает ли твой сайт на SQL запросы к базе данных.
Если запрос получен и база данных отвечает то пойдут дальше union select version(),user(),@@port,null и может быть получат версию базы данных, имя пользователя базы данных, и порт, который использует БД.
Ну а дальше union select null,null,table_name,null from information_schema.tables - список таблиц из базы данных.
Ну а дальше сильный инжект и получение логинов BD и их пароли в виде хеша.
Если сайт не самопис то не обращай внимание. 😉
Ты же говоришь это в сообщения попадает, тогда не проходит у них.
Лучше забань тот IP который это делает.
Если сайт не самопис то не обращай внимание. 😉
Вот это ложное утверждение :)
Вот этот UNION ALL SELECT NULL,NULL,NULL,NULL,NULL - тебя просто проверяют отвечает ли твой сайт на SQL запросы к базе данных.
Если запрос получен и база данных отвечает то пойдут дальше union select version(),user(),@@port,null и может быть получат версию базы данных, имя пользователя базы данных, и порт, который использует БД.
Ну а дальше union select null,null,table_name,null from information_schema.tables - список таблиц из базы данных.
Ну а дальше сильный инжект и получение логинов BD и их пароли в виде хеша.
Если сайт не самопис то не обращай внимание. 😉
Нет, не самопис.
Ещё такие комменты:
"-8351 UNION ALL SELECT NULL,NULL,NULL,NULL,CONCAT(CONCAT(‘qkjvq’,’KmDOCNJYJM’),’qkzqq’),NULL— nlSC"
"zjgR’) AND 3130=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(107)||CHR(106)||CHR(118)||CHR(113)||(SELECT (CASE WHEN (3130=3130) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(107)||CHR(122)||CHR(113)||CHR(113)||CHR(62))) FROM DUAL) AND (‘gfjQ’=’gfjQ"
Вот это ложное утверждение :)
Написано же выше, что части попадают в сообщения.. Значит вероятно это какая то форма обратной связи..
Написано же выше, что части попадают в сообщения.. Значит вероятно это какая то форма обратной связи..
Ну в этом смысле да, сообщения обычно в движках популярных проверяют.