Autor | Zpráva | ||
---|---|---|---|
Watchick Profil * |
#1 · Zasláno: 22. 9. 2008, 15:31:12
Dobrý den, chtěl ybch se zeptat, jestli může uškodit, dkyž bude uživatel znát přesnou strukturu databáze tím, že by si mohl uložit zálohu svých věcí na serveru formou beckupu datábáze v ve formátu, tkerý dělá PMA jako Export?
|
||
Wojta Profil |
#2 · Zasláno: 22. 9. 2008, 15:52:41
No, řekl bych že ne, pokud tam bude i dobře strážená registrace. jinak by to asi mohlo pomóct při hcku DB, ale nevím, je to jen můj názor
|
||
BetaCam Profil |
#3 · Zasláno: 22. 9. 2008, 16:40:18
Watchick
Pokud je to dobře ošetřené tak to ničemu až tak moc nevadí. Otázka zní k čemu to bude dobré. :) |
||
joe Profil |
#4 · Zasláno: 22. 9. 2008, 16:41:26
Když nebudeš mít ošetřené vstupy od uživatele, tak to útočníkovi zjednodušíš...
|
||
Watchick Profil * |
#5 · Zasláno: 22. 9. 2008, 17:22:12
mimo to že mam ošetřené numerické hodnoty a escapuju stringy, tak jsem udělal to, že v hodnotách, které jsou předávány GET a určují podmínku výběru, sleduji výslkyt řetězců ',",SELECT,*,... na kteŕé jsou administrátoři upozorněni a potenciální agresor je zaBANován...
Co myslíte... každý, kdo to zkouší to nejprve "oťukává", ne? takže by se mohl nachytat tím, že zkusí nějaký jednoduchý SQL inject a můj detektor ho zachytí a předá do rukou adminů... Myslíte, že je to dobrá ochrana? |
||
Amunak Profil |
#6 · Zasláno: 22. 9. 2008, 18:34:02
Je to zajímavý nápad. Já osobně bych třeba select jen upozornil admina a nechal rozhodnutí banu na něm, a za UPDATE, DELETE nebo CREATE bych dával ban rovnou (+upozornění admina). Já zatím teda jen ošetřuju vstupy.
|
||
joe Profil |
#7 · Zasláno: 22. 9. 2008, 18:49:49
„,",SELECT,*,... na kteŕé jsou administrátoři upozorněni a potenciální agresor je zaBANován...“
Nápad to je dobrý, ale otázkou je, jestli to má nějaký smysl. Koho BANuješ? Uživatele? IP adresu? Ani jedno nemá smysl... |
||
Watchick Profil * |
#8 · Zasláno: 22. 9. 2008, 19:14:25
No jo, jenže si říkám, že reakční doba takového admina může být celkem dlouhá, takže on si zatim může v klidu injectovat dál
|
||
Watchick Profil * |
#9 · Zasláno: 22. 9. 2008, 19:18:09
joe
No to je pravda... banuju IP a Uživatele, ale jaká je ještě jiná alternativa, kromě cookie? |
||
joe Profil |
#10 · Zasláno: 22. 9. 2008, 19:18:13
Watchick
Pokud vstupní data budou ošetřená, tak to snad ničemu nevadí ne? ;-) |
||
BetaCam Profil |
#11 · Zasláno: 22. 9. 2008, 19:39:11 · Upravil/a: BetaCam
Watchick
„No to je pravda... banuju IP a Uživatele, ale jaká je ještě jiná alternativa, kromě cookie?“ Žádné zabanování neni neprůstřelné. Dobře ošetřené vstupy sou základ a to tvoje banování by mělo být pouze jako třešnička na dortu. Jak tu nastímil joe. Jakej myslíš, že bude problém pro někoho kdo zkouší SQL injection obejít BAN IP? Podle mě to pro něj bude problém tak asi na 10 vteřin. Zato ty tim BANem odstříhneš celou proxy. :) Nevím jestli to není trochu kontraproduktivní. Banovat se podle mě vyplatí pouze toho kdo bude mít problém BAN obejít. Tvé řešení by se dalo přirovnat k tomu když policajt dá pokutu 2000Kč za vysokou rychlost někomu kdo jezdí ve Ferrari a zapaluje si doutník 5ti tisícovkama. |
||
Watchick Profil * |
#12 · Zasláno: 22. 9. 2008, 19:44:22
To je v pohodě... Já totiž nemám barák u silnice 1. třídy
|
||
es Profil * |
#13 · Zasláno: 22. 9. 2008, 20:45:31
Najlepšie je navrhnúť to tak, aby SQL injection nebolo možné.
Povoliť len taký druh vstupu, ktorý je potrebný. A nie naopak len stále pridávať rôzne zákazy. |
||
Watchick Profil * |
#14 · Zasláno: 23. 9. 2008, 06:33:21
Já mam pocit, že jsem ošetřil co se dá, ale opravdu nevím i ty vstupy co jsem oštětřil, jsou dostačující...
|
||
Časová prodleva: 16 let
|
0