18 август
Стефан Esser е една наистина добра статия за това как MySQL и SQL се съкрати колони, които могат да доведат до сигурността дупки. Той използва един добър пример за колона, която е с ширина от 16 знака, но той подаде нещо с 17 знака. Очевидно налагане дължина е един от начините да се въведе, че дори ако тя почти никога не се случва. Но едно друго нещо, дойде в съзнание. Harkening обратно към дните ми на четене на дъжд Форест Пюпи документи, аз осъзнах, че често пъти код прави направо regex или стринг съвпадение. Например: ако ($ потребителско име EQ "Admin") (Резервен ();) Но ако $ потребителско име е "Администрация" това явно няма да може стринга мач, тъй като то не е точно съвпадение, но ще имат едни и същи нетно в базата данни на преминаване на проверката и позволява достъп до администратор на данни. Също така подплата в предната част на Потребителите ще имат същия ефект в някои случаи - в зависимост от това как се строи SQL заявка (ако е капсулирани). Както и да е, добра статия, иди я прочете! Tags: Сигурност, сигурност новини
