«sql-injection» 태그된 질문

7
보안 집약적 인 사이트의 작은 버그를 수정하기 위해 고용되었습니다. 코드를 살펴보면 보안 허점이 가득합니다. 너 뭐하니? [닫은]
누군가 사이트에서 작은 일을하도록 고용되었습니다. 대기업 사이트입니다. 매우 민감한 데이터가 포함되어 있으므로 보안이 매우 중요합니다. 코드를 분석하자마자 보안 허점으로 가득 차있는 것을 알았습니다. 읽고 많은 PHP 파일은 사용자의 get / post 입력을 mysql 요청 및 시스템 명령에 직접 입력합니다. 문제는 그를 위해 사이트를 만든 사람은 그 일에 의존하는 가족과 아이들을 …
14
SQL 주입 방지 메커니즘이 매개 변수화 된 쿼리를 사용하는 방향으로 발전한 이유는 무엇입니까?
내가 보는 방식으로 SQL 인젝션 공격은 다음과 같이 방지 할 수 있습니다. 신중하게 선별, 필터링, 인코딩 입력 (SQL에 삽입하기 전에) 준비된 명령문 사용 / 매개 변수화 된 쿼리 나는 각각에 장단점이 있다고 가정하지만 왜 # 2가 사출 공격을 막는 사실상의 방법으로 이륙하여 고려 되었습니까? 더 안전하고 오류가 적은 경향이 있습니까? …
3
매개 변수화 된 쿼리에 대한 의존성이 SQL 삽입을 막는 유일한 방법입니까?
SQL 인젝션 공격에서 본 모든 것은 매개 변수가있는 쿼리, 특히 저장 프로 시저의 쿼리가 이러한 공격을 막을 수있는 유일한 방법임을 암시하는 것 같습니다. 내가 암흑 시대로 돌아 왔을 때 저장 프로시 저는 관리가 덜한 것으로 보였기 때문에 좋지 않은 관행으로 여겨졌다. 덜 테스트 가능; 고도로 결합 된; 하나의 벤더에 시스템을 …
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.