18 август
Стефан Esser е наистина добра статия за това как и MySQL SQL съкрати колони, които могат да доведат до сигурността дупки. Той използва един добър пример за една колонка, която е с ширина от 16 знака, но той представя нещо, с 17 знака. Очевидно налагане дължина е един от начините да се наложат, че дори ако тя почти никога не се случва. Но едно друго нещо, стига до ума. Harkening обратно към моите дни на четене с дъжд Форест Puppy на документи, разбрах, че често пъти код прави чисти regex или низ съвпадение. Например: ако ($ потребителско име екв "администратор") (неуспешно ();), но ако $ потребителско име е "администратор" той очевидно ще липсват на низ мач, тъй като то не е точно съвпадение, но то ще има същия ефект нетно в базата данни на преминаване на проверката и позволява да получите достъп до администратор на данни. По същия начин подплата в предната част на потребителско име ще има същия ефект в някои случаи - в зависимост от това как се строи SQL заявка (ако е капсулирани). Във всеки случай, добра статия, отидете я прочетете! Tags: Сигурност, сигурност новини
