Вопрос № 110569: Здравствуйте!
Сегодня мой сайт пытались взломать :)))
Моя система отсленживания действий пользователя зафиксировала следующие действия:
guest'/*N*/and/*N*/'a'='a
guest'
guest'/*N*/and/*N*/'a'='b
guest/*N*/and/*N...
Вопрос № 110.569
Здравствуйте!
Сегодня мой сайт пытались взломать :)))
Моя система отсленживания действий пользователя зафиксировала следующие действия:
подскажите, пожалуйста, что именно хотел сделать злоумышленник, с чем он обломался? :) А то сайты писать более-менее научился, защиту стандартную заложил, но мало ли! Пасиб! :)
p/s/ и, если кто знает, что это за сканер или технология?
Отвечает: Емельянов Данил Юрьевич
Здравствуйте, Константин Гергель!
На первый взгляд это очень похоже на попытку взлома БД, т.е. SQL-инъекция. Об этом много пишут в инете. При удачной такой инъекции вы рискуете потерять всю БД. Я так понимаю эти данные вводятся через форму и возможно связаны с БД MySQL.
--------- Жить хорошо, а хорошо жить еще лучше!
Отвечает: Товарищ Бородин
Здравствуйте, Константин Гергель!
Чтобы спать спокойно, хорошо бы использовать strip_tags в связке с mysql_real_escape_string + отключенный register_globals + кроме того проверять данные не только на наличие в них запрещенных всяких штук, но и просто на валидность, на их корректность. Кроме того, хороший результат может дать использование mod_rewrite определенным образом, а именно, если сайт не слишком разветвленный, то все некорректные пути и запросы переводить на корректный запрос.
Короче говоря, пропасть всего существует для решения Ваших проблем. Но я бы все равно не слишком полагался на системы защиты. Нет сайта, который бы нельзя было взломать. Есть сайты, которые легко взломать и трудно взломать, а также которые трудно не взломать. Не оставляйте в сайтах дыр, а то это провоцирует некоторых... Еще советую для повышения безопасности и качества использовать MVC - разделяйте PHP и HTML, делите логику приложения. И поменьше самонадеянности. С уважением, Бородин Александр
--------- Ничто не сближает людей так, как совместное преступление.
Ответ отправил: Товарищ Бородин (статус: Студент)
Ответ отправлен: 22.11.2007, 18:55 Оценка за ответ: 5 Комментарий оценки: Спасибо за информацию!
Отправить вопрос экспертам этой рассылки
Приложение (если необходимо):
* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.
Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!
Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.
Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.
