Вопросы безопасности в веб-технологиях → Как избежать инъекций
Атаки на веб-системы основаны на багах обработки входных данных. Пользуясь различными уязвимостями софта и невнимательностью разработчика, хакер может составить такие данные, которые при обработке скомпроментируют систему — шелл, незашифрованные пароли, и даже эмуляция действий пользователя в браузере (например в банковской системе переведет деньги со счета).
Одним из популярных векторов атаки явлются всевозможные инъекции: html, javascript, sql. Поэтому многие авторитетные источники рекомендуют экранировать юзер инпут посредством различных заклинаний. В этом посте я покажу одно простое правило, следуя которому вы гарантированно решите проблему инъекций.
Одним из популярных векторов атаки явлются всевозможные инъекции: html, javascript, sql. Поэтому многие авторитетные источники рекомендуют экранировать юзер инпут посредством различных заклинаний. В этом посте я покажу одно простое правило, следуя которому вы гарантированно решите проблему инъекций.
Информационная безопасность → Профилактика SQL-инъекций
SQL-инъекции (также известные как «Нарушение в целостности структуры SQL-запроса») являются одними из самых распространённых и наиболее опасных уязвимостей в вопросе безопасности. SQL-инъекции очень опасны, потому что они открывают двери хакерам в вашу систему через веб-интерфейс, и позволяют получить неограниченный доступ: например удалять таблицы, изменять базу данных, и даже получить доступ к внутренней корпоративной сети. SQL-инъекции это чисто программная ошибка, и не имеет ничего общего с хост-провайдером. Итак, вы занимались поисками безопасного JSP хостинга, PHP хостинга, или любого другого, вы должны знать, что за профилактику SQL-инъекций несут ответственность только разработчики, а не хост провайдер.
Почему же происходят SQL-инъекции
SQL-инъекции это очень распространённая проблема, но по иронии судьбы, их также легко предотвратить. SQL-инъекции так распространены, поскольку очень много мест, где может присутствовать уязвимость, и в случае успешной инъекции, хакер может получить хорошую награду (например полный доступ к данным в базе).
Персональные блоги → Как НЕ надо делать информер с внешнего сайта на PHP
Добрый день всем читающим!
Сразу хочу оговориться, здесь я расскажу об очевидных вещах для любого опытного PHP-программиста. Но в последнее время постоянно натыкаюсь у новичков на эту ошибку в том или ином ее проявлении.
UPD: господа, ну что за манера молча плевать в карму! неужели трудно написать, что конкретно не нравится в посте?
Сразу хочу оговориться, здесь я расскажу об очевидных вещах для любого опытного PHP-программиста. Но в последнее время постоянно натыкаюсь у новичков на эту ошибку в том или ином ее проявлении.
UPD: господа, ну что за манера молча плевать в карму! неужели трудно написать, что конкретно не нравится в посте?