Fliridicter
Сообщений: 34
Оценки: 0
Присоединился: 2011-01-04 12:28:36.730000
|
XSpider нашёл на моём сайте уязвимости:
SQL инъекция %s
реальный путь к серверу %s
Запрос для выполнения SQL инъекции:
http://microsof-b**c**/page.php?id=1'
Результат работы:
<…>
/404.html
Connection: close
Content-Type: text/html; charset=UTF-8
<br />
<b>Warning</b>: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in <b>C:\Serv\www\page.php</b> on line <b>10</b><br />
<html>
<head>
<…>
Возможно получение реального пути к веб-серверу с помощью запроса:
http://microsof-b**c**/page.php?id=1'
В начале я всегда проверяю переменную, передающуюся методом GET через регулярное выражение (разрешены только цифры)
Если присутствуют недопустимые символы, делаю редирект на 404.html , также в ходе работы скриптов выполняю проверку переменных mysql_real_escape_string().
Найденные уязвимости действительно представляет большую угрозу?
|
SQL инъекция %s и реальный путь к серверу %s - 
