Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 21.06.2014, 21:29   #1
Banned
 
Регистрация: 11.06.2014
Сообщений: 35
Репутация: 2690

Question "Белый список" - панацея ли от SQL-инъекций?

Вопрос к действительно понимающим людям. Пишу один самописный движек, и конечно же, нет уверенности в том, что в него не закрались дыры.

Поэтому я решил построить безопасность просто: сделать белый список, а не заморачиваться с написанием фильтрации входных параметров. Попросту говоря, сделать так, что будут разрешаться только запросы, содержащие в URL (и переменных на запросах в базу) только значения из диапазона 0-9 и A-Z.

Все остальные символы - запрос не выполняется и логируется.

Комментарии & предложения?
Rector вне форума   Ответить с цитированием

Реклама
Старый 21.06.2014, 21:37   #2
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 22,685
Репутация: 1994137
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: "Белый список" - панацея ли от SQL-инъекций?

Ну если действительно у вас лишь 0-9 и A-Z то делайте.
Но вообще если у вас Mod_rewrite то это можете там указать и он не пропустит другие.
LEOnidUKG вне форума   Ответить с цитированием
Старый 22.06.2014, 02:36   #3
RiDDi
Академик
 
Аватар для RiDDi
 
Регистрация: 06.06.2010
Сообщений: 2,677
Репутация: 540437

По умолчанию Re: "Белый список" - панацея ли от SQL-инъекций?

Эт чего за движок-то такой, где только A-Z и 0-9?

Что, никаких текстов писать в базу не планируете?

Не забывайте, что кроме как через GET у Вас ещё через POST, COOKIE, а в ряде случаев и через SESSION может проникнуть всякое )

Фильтровать разумнее непосредственно на входе - то есть перед запросами.

Если Вы хотите как-то систематизировать это, то лучше систематизировать эти самые запросы организовав определенную модель с обработчиками, методы которой уже будут безопасными.
__________________
Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.

Последний раз редактировалось RiDDi; 22.06.2014 в 02:48..
RiDDi вне форума   Ответить с цитированием
Старый 22.06.2014, 13:21   #4
pastuhoff
См. подпись
 
Аватар для pastuhoff
 
Регистрация: 29.10.2005
Сообщений: 2,449
Репутация: 322969

По умолчанию Re: "Белый список" - панацея ли от SQL-инъекций?

Используйте подготовленные выражения для запросов.
__________________
Коллекционер доменных имен.
pastuhoff вне форума   Ответить с цитированием
Старый 22.06.2014, 14:04   #5
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 02.03.2011
Адрес: Budva
Сообщений: 9,863
Репутация: 1057314
Социальные сети Аккаунт в Telegram

По умолчанию Re: "Белый список" - панацея ли от SQL-инъекций?

откажитесь от SQL и не будет инъекций.
foxi вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 25.06.2014, 13:51   #6
rushter
Академик
 
Регистрация: 13.04.2009
Сообщений: 1,685
Репутация: 137458

По умолчанию Re: "Белый список" - панацея ли от SQL-инъекций?

Научиться писать правильные SQL запросы совсем не сложно, тем более если это php, где всё обсасывалось 100 раз. Если вы хорошо понимайте теорию баз данных, то вникнуть можно за час.
Если это php:
Для чисел на входе всегда intval().
Для строк mysql_real_escape_string(), magic_quotes строго off.
Всё, вы знайте основную информацию, которая спасёт от 70-80% sql-inj атак, если нигде отфильтровать не забудете.

Писать фильтры - полный бред. Есть коммерческие WAF (фаерволы для веб приложений) в которых бывает до 60к правил и даже там людям удаётся найти обходы
Другое дело что, помимо иньекций, есть ещё как минимум пару векторов атак, например LFI, RCE, XSS, CSRF и т.д., а вы в SQL-inj упёрлись да ещё и кривым способом
rushter вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны