jack_fat 2017-2-8 12:04
想問問大家SQL injection 可以靠programmer 自己去alert自己d code有無寫類似咁既pattern
String key_value="testing"
String sql = "SELECT * FROM AAA WHERE key = "+key_value
我可以用IDE 去global search 再code review
但有無automatic D 既方法去detect?
jack_fat 2017-2-8 12:12
岩岩好似搵到個freeware似得, 師兄有無用過?
[url]http://sqlmap.org/[/url]
McLoneV 2017-2-8 16:47
[quote]原帖由 [i]jack_fat[/i] 於 2017-2-8 12:04 PM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456030771&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
想問問大家SQL injection 可以靠programmer 自己去alert自己d code有無寫類似咁既pattern
String key_value="testing"
String sql = "SELECT * FROM AAA WHERE key = "+key_value
我可以用IDE 去global s ... [/quote]
我公司賣了一套software專detect程式漏洞,包括SQL injection,但最好方法是review 所有SQL statements
jack_fat 2017-2-9 00:18
我們用eclipse IDE ,有plugin自動做到尼d detection...
stupidsing 2017-2-10 09:13
[quote]原帖由 [i]煙民母親生賤種[/i] 於 2017-2-10 06:36 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456129161&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
其實而家仲有 sql injection 呢味野?:fst_002:寫既人已經好穩陣,而 php 內亦己經有各種 filter function() 及 global setting 整走哂 D 問題字元 :fst_011: [/quote]
好穩陣?
香港地有幾年經驗既上左位人工唔夠低,呢D砌石仔一向都係搵新鮮人做架啦......
有 filter() 都要識用先得,分分鐘仲維護緊十年前的版本
McLoneV 2017-2-10 09:51
[quote]原帖由 [i]煙民母親生賤種[/i] 於 2017-2-10 06:36 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456129161&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
其實而家仲有 sql injection 呢味野?:fst_002:寫既人已經好穩陣,而 php 內亦己經有各種 filter function() 及 global setting 整走哂 D 問題字元 :fst_011: [/quote]
我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'";
uat 2017-2-23 18:58
有d code scanning 的tool, 可以scan 埋其他漏洞
SmallestPotato 2017-2-24 16:11
慘不忍睹 .............
:smile_27::smile_27:
[quote]原帖由 [i]McLoneV[/i] 於 2017-2-10 09:51 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456135044&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'"; [/quote]
howevera 2017-2-25 13:55
[quote]原帖由 [i]McLoneV[/i] 於 2017-2-10 09:51 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456135044&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'"; [/quote]
見唔少. :smile_42: