SQL injekcijas.

[Scrabblelv]

Sveiki!

Gribēju uzzināt kāda ir starpība starp "Cookie SQL injection", "URL SQL injection" un "POST SQL injection".

[usver]

veidā, kā saitam nodod ļaunprātīgi pārveidojamo vaicājumu.

 

vai pats vari uzrakstīt saviem vārdiem, kas katra no tām lietām ir un kā notiek?

Tiklīdz pats būsi sapratis, atšķirība būs acīmredzama.

[Scrabblelv]

Tieši to arī vēlējos noskaidrot "Kas katrā no tām lietām ir un kā notiek".

[Aleksejs]

Vēl aizmirsi par HEADER injection

[Scrabblelv]

Šoreiz man intresē konkrēti šīs trīs.

[Vilx-]

SQL injekcija var notikt visādos veidos, un ir muļķīgi un neracionāli to dalīt kaut kādās šādās kategorijās. Ar to var tikai auzās iebraukt. Pareizais veids ir - jebkuru, JEBKURU vērtību, kuru Tu spraud iekšā savā SQL kverijā, pirms tam eskeipot. Un eskeipošanu vajag veikt TIEŠI PIRMS iespraušanas kverijā. Nevajag mainīgajos turēt eskeipotas vērtības un ar tādām operēt. Nomudīsies kaut kur, ar garantiju.

 

Vai arī vēl labāk - izmanto parametrizētos kverijus, un tad varēsi aizmirst par eskeipošanu un SQL injekcijām kā tādām.

[Aleksejs]

Visās notiek būtībā viens un tas pats - tas, kas notiek ir atkarīgs no serverpuses skripta. Atšķirības, kā jau teica, ir tikai nodošanas veidā un šim nodošanas veidam piemītošajos ierobežojumos (piemēram ne visi simboli, ko var nodot caur POST, ir nododami arī caur URL/GET).

Edited June 1, 2012 by Aleksejs