Autor Zpráva
Watchick
Profil *
Dobrý den, chtěl ybch se zeptat, jestli může uškodit, dkyž bude uživatel znát přesnou strukturu databáze tím, že by si mohl uložit zálohu svých věcí na serveru formou beckupu datábáze v ve formátu, tkerý dělá PMA jako Export?
Wojta
Profil
No, řekl bych že ne, pokud tam bude i dobře strážená registrace. jinak by to asi mohlo pomóct při hcku DB, ale nevím, je to jen můj názor
BetaCam
Profil
Watchick
Pokud je to dobře ošetřené tak to ničemu až tak moc nevadí. Otázka zní k čemu to bude dobré. :)
joe
Profil
Když nebudeš mít ošetřené vstupy od uživatele, tak to útočníkovi zjednodušíš...
Watchick
Profil *
mimo to že mam ošetřené numerické hodnoty a escapuju stringy, tak jsem udělal to, že v hodnotách, které jsou předávány GET a určují podmínku výběru, sleduji výslkyt řetězců ',",SELECT,*,... na kteŕé jsou administrátoři upozorněni a potenciální agresor je zaBANován...
Co myslíte... každý, kdo to zkouší to nejprve "oťukává", ne? takže by se mohl nachytat tím, že zkusí nějaký jednoduchý SQL inject a můj detektor ho zachytí a předá do rukou adminů... Myslíte, že je to dobrá ochrana?
Amunak
Profil
Je to zajímavý nápad. Já osobně bych třeba select jen upozornil admina a nechal rozhodnutí banu na něm, a za UPDATE, DELETE nebo CREATE bych dával ban rovnou (+upozornění admina). Já zatím teda jen ošetřuju vstupy.
joe
Profil
,",SELECT,*,... na kteŕé jsou administrátoři upozorněni a potenciální agresor je zaBANován...

Nápad to je dobrý, ale otázkou je, jestli to má nějaký smysl. Koho BANuješ? Uživatele? IP adresu? Ani jedno nemá smysl...
Watchick
Profil *
No jo, jenže si říkám, že reakční doba takového admina může být celkem dlouhá, takže on si zatim může v klidu injectovat dál
Watchick
Profil *
joe
No to je pravda... banuju IP a Uživatele, ale jaká je ještě jiná alternativa, kromě cookie?
joe
Profil
Watchick
Pokud vstupní data budou ošetřená, tak to snad ničemu nevadí ne? ;-)
BetaCam
Profil
Watchick
No to je pravda... banuju IP a Uživatele, ale jaká je ještě jiná alternativa, kromě cookie?

Žádné zabanování neni neprůstřelné. Dobře ošetřené vstupy sou základ a to tvoje banování by mělo být pouze jako třešnička na dortu.

Jak tu nastímil joe. Jakej myslíš, že bude problém pro někoho kdo zkouší SQL injection obejít BAN IP? Podle mě to pro něj bude problém tak asi na 10 vteřin. Zato ty tim BANem odstříhneš celou proxy. :) Nevím jestli to není trochu kontraproduktivní.

Banovat se podle mě vyplatí pouze toho kdo bude mít problém BAN obejít.

Tvé řešení by se dalo přirovnat k tomu když policajt dá pokutu 2000Kč za vysokou rychlost někomu kdo jezdí ve Ferrari a zapaluje si doutník 5ti tisícovkama.
Watchick
Profil *
To je v pohodě... Já totiž nemám barák u silnice 1. třídy
es
Profil *
Najlepšie je navrhnúť to tak, aby SQL injection nebolo možné.
Povoliť len taký druh vstupu, ktorý je potrebný.
A nie naopak len stále pridávať rôzne zákazy.
Watchick
Profil *
Já mam pocit, že jsem ošetřil co se dá, ale opravdu nevím i ty vstupy co jsem oštětřil, jsou dostačující...

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: