Fliridicter
Сообщений: 34
Оценки: 0
Присоединился: 2011-01-04 12:28:36.730000
|
XSpider нашёл на моём сайте уязвимости: SQL инъекция %s реальный путь к серверу %s Запрос для выполнения SQL инъекции: http://microsof-b**c**/page.php?id=1' Результат работы: <…> /404.html Connection: close Content-Type: text/html; charset=UTF-8 <br /> <b>Warning</b>: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in <b>C:\Serv\www\page.php</b> on line <b>10</b><br /> <html> <head> <…> Возможно получение реального пути к веб-серверу с помощью запроса: http://microsof-b**c**/page.php?id=1' В начале я всегда проверяю переменную, передающуюся методом GET через регулярное выражение (разрешены только цифры) Если присутствуют недопустимые символы, делаю редирект на 404.html , также в ходе работы скриптов выполняю проверку переменных mysql_real_escape_string(). Найденные уязвимости действительно представляет большую угрозу?
|