PDA

Просмотр полной версии : Нужен ли файл .php для инъекции?


Your_friend
25.02.2016, 21:42
Добрый вечер.

Начал изучать sql-инъекции. В статьях на эту тему берутся примеры с site.ru/index.php?id=1. Обязательно ли SQL-инъекция требует, чтобы на сайте лежал файл с расширением .php и до него так легко было добраться по ссылке?

private_static
25.02.2016, 21:45
не обязательно, может быть и урл вида site.ru/cat/1

тут от mod_rewrite зависит

Your_friend
25.02.2016, 21:49
↑ (https://antichat.live/posts/3956903/)
не обязательно, может быть и урл вида site.ru/cat/1
тут от mod_rewrite зависит


А что такое mod_rewrite?

private_static
25.02.2016, 21:56
↑ (https://antichat.live/posts/3956906/)
А что такое mod_rewrite?


модуль для апача

можно задать правило, чтобы к примеру при переходе на site.ru/cat/1 отправлялся запрос на site.ru/cat.php?id=1

следовательно инъекция будет иметь вид site.ru/cat/1[тут sql код]

faza02
25.02.2016, 22:11
в любых языках, в любых передаваемых данных

ol1ver
29.02.2016, 05:25
Даже в кукис может быть.

Страшно??

t0ma5
29.02.2016, 13:49
вообще пых тут как таковой не при чем

просто пых используется в большинстве сайтов

есть софтина на какой либо языке -> она привязана к апачу( веб :80 ) будь то cgi или как модуль -> софтина работает с какой либо базой данных -> в запросах юзаются внешние данные( передаваемые клиентом ) -> недостаточная фильтрация -> sql-injection

данные, как верно отметил ol1ver (https://antichat.live/members/168939/), используемые в запросе, могут поступать из разных источников - в http заголовках( сессии кукисы рефы ), в передаваемых данных get/post