раскрыть ветку (1)
http://ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D0%B4%D1%80%D0%B5%D0%BD%D0%B8%D0%B5_SQL-%D0%BA%D0%BE%D0%B4%D0%B0
Коротко говоря, строка не проверяется на содержимое и вставляется как есть в запрос и позволяет выполнить произвольное действие. До годов 2010х было очень-очень распространенной ошибкой на многих сайтах.
Коротко говоря, строка не проверяется на содержимое и вставляется как есть в запрос и позволяет выполнить произвольное действие. До годов 2010х было очень-очень распространенной ошибкой на многих сайтах.
показать ответы
раскрыть ветку (1)
Ну ошибка была в куче CMS (включая, платные) и форумов.
Сейчас уже большинство более ли менее серьезных массовых продуктов, включая бесплатные, проверяют такие элементарные вещи. Поэтому, чтобы сейчас найти SQL-инъекцию нужно хорошо постараться, если не учитывать сайтики от программиста, который вчера научился в php "Hello, world" выводить, а сегодня уже решил, что может все :)
Сейчас уже большинство более ли менее серьезных массовых продуктов, включая бесплатные, проверяют такие элементарные вещи. Поэтому, чтобы сейчас найти SQL-инъекцию нужно хорошо постараться, если не учитывать сайтики от программиста, который вчера научился в php "Hello, world" выводить, а сегодня уже решил, что может все :)