Xwab
Форумыnavigate_nextНебольшие вопросы по PHP/MySQL

Безопасность записи в сессию
Сообщения
Pisatel

SL_NeKrOmAnT, нет, это была именно уязвимость SQL Injection из-за недостаточной фильтрации. То есть, к запросу я мог добавить кавычки, они не обрабатывались.
добавлено спустя 2 минуты:
SL_NeKrOmAnT пишет:
"...MySQL не определяет уязвимости."

Верно. Но вывод ошибки помогает это сделать. Я не прав?

04 Июн 2013, 6:38
Епифанцев

Akdmeh пишет:
"Сессия не длительное хранилище, и в любой момент нужно данные потерять.
Я бы не использовал сессию так, как ты.

Пользователь доступа к сессии не имеет, это только внутреннее хранилище, в которое можешь записывать данные только ты.
НО! Любые данные, которые ты от пользователя получаешь и вписываешь в сессию нужно проверять на валидность и фильтрировать (то есть, все $_POST и $_GET нужно все равно проверять)"


Как проверять и как фильтровать?

04 Июн 2013, 11:12
Akdmeh

http://xwab.mobi/forum/topic241469
Часть информации ты найдешь здесь.

04 Июн 2013, 12:35
SL_NeKrOmAnT

Pisatel пишет:
"Я не прав?"


Нет, ошибка показывает не правильный синтаксис, а ты уже сам смотришь по какой причине, то ли в запросе что-то не поставил, то ли при записи не отфильтровал и получился не правильный запрос.

04 Июн 2013, 19:16
Pisatel

SL_NeKrOmAnT, все верно, ошибка показывает неправильный синтаксис. Однако, я ж написал, что после несложных манипуляций... Далее я написал, что смог поставить в запрос кавычки, вследствие чего и появлялась ошибка. Вывод: недостаточная фильтрация данных-> вывод сообщения об ошибке-> потенциальная угроза sql injection.

05 Июн 2013, 5:24
Ответить на тему