查看完整版本 : SQL injection

jack_fat 2017-2-8 12:04

想問問大家SQL injection 可以靠programmer 自己去alert自己d code有無寫類似咁既pattern

String key_value="testing"

String sql = "SELECT * FROM AAA WHERE key = "+key_value


我可以用IDE 去global search 再code review

但有無automatic D 既方法去detect?

jack_fat 2017-2-8 12:12

岩岩好似搵到個freeware似得, 師兄有無用過?
[url]http://sqlmap.org/[/url]

McLoneV 2017-2-8 16:47

[quote]原帖由 [i]jack_fat[/i] 於 2017-2-8 12:04 PM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456030771&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
想問問大家SQL injection 可以靠programmer 自己去alert自己d code有無寫類似咁既pattern

String key_value="testing"

String sql = "SELECT * FROM AAA WHERE key = "+key_value


我可以用IDE 去global s ... [/quote]
我公司賣了一套software專detect程式漏洞,包括SQL injection,但最好方法是review 所有SQL statements

jack_fat 2017-2-9 00:18

我們用eclipse IDE ,有plugin自動做到尼d detection...

煙民母親生賤種

*** 作者被禁止或刪除 內容自動屏蔽 ***

stupidsing 2017-2-10 09:13

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2017-2-10 06:36 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456129161&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
其實而家仲有 sql injection 呢味野?:fst_002:寫既人已經好穩陣,而 php 內亦己經有各種 filter function() 及 global setting 整走哂 D 問題字元 :fst_011: [/quote]

好穩陣?
香港地有幾年經驗既上左位人工唔夠低,呢D砌石仔一向都係搵新鮮人做架啦......
有 filter() 都要識用先得,分分鐘仲維護緊十年前的版本

McLoneV 2017-2-10 09:51

[quote]原帖由 [i]煙民母親生賤種[/i] 於 2017-2-10 06:36 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456129161&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]
其實而家仲有 sql injection 呢味野?:fst_002:寫既人已經好穩陣,而 php 內亦己經有各種 filter function() 及 global setting 整走哂 D 問題字元 :fst_011: [/quote]
我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'";

uat 2017-2-23 18:58

有d code scanning 的tool, 可以scan 埋其他漏洞

SmallestPotato 2017-2-24 16:11

慘不忍睹 .............

:smile_27::smile_27:
[quote]原帖由 [i]McLoneV[/i] 於 2017-2-10 09:51 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456135044&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]

我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'"; [/quote]

howevera 2017-2-25 13:55

[quote]原帖由 [i]McLoneV[/i] 於 2017-2-10 09:51 AM 發表 [url=http://computer.discuss.com.hk/redirect.php?goto=findpost&pid=456135044&ptid=26432149][img]http://computer.discuss.com.hk/images/common/back.gif[/img][/url]

我仍見過一些沒什麼programming經驗的人寫:
string sql="select * from user_table where userid='" + userid + "' and password= '" + password +"'"; [/quote]


見唔少. :smile_42:
頁: [1]
查看完整版本: SQL injection