Un idea e un dubbio sulle famose sql injection

th3n0x · 05.11.2004, 17:18

ma scusate tanto se con queste stringhe famose si può prendere il controllo di tutto il sito non c'è un modo di creare un qualcosa per il quale quando si scrive l'indirizzo non appaiano le estensioni e sopratutto non si possano aggiungere
es.:www.ilmiosito.org/index.php
www.ilmiosito.org/*

E poi il dubbio più ricorrente è come si fa a generare e trovare le famose stringhe....

GianniT · 08.11.2004, 20:28

Quote:

Originally Posted by th3n0x

ma scusate tanto se con queste stringhe famose si può prendere il controllo di tutto il sito non c'è un modo di creare un qualcosa per il quale quando si scrive l'indirizzo non appaiano le estensioni e sopratutto non si possano aggiungere
es.:www.ilmiosito.org/index.php
www.ilmiosito.org/*

E poi il dubbio più ricorrente è come si fa a generare e trovare le famose stringhe....

per fortuna le sql injection non sono così semplici da fare e anche quando vanno a segno i risultati che si ottengono sono minimi.
I problemi di sicurezza a cui ti riferisci sono legati principalmente a grossolani errori di programmazione ed a software realizzati da programmatori della domenica
Non è necessario realizzare le techinche di cui parli, ci sono modi molto più banali per difendersi da tali attacchi.

th3n0x · 08.11.2004, 20:52

avresti la gentilezza di spiegarmi quali sono perchè ci tengo alla sikurezza del mio sito mambo

GianniT · 08.11.2004, 21:58

Le difese di cui parlo sono a carico dei programmatori, non degli utenti.
Comunque ci sono 2 paramentri nel php.ini (il file di configurazione di PHP) che possono aiutare (ma se il software che usi è bacato c'è poco da fare).
Uno è il register_globals da settare ad Off, l'altra è il magic_quotes_gpc da mettere ad On

Queste modifiche comunque prevedono che tu possa mettere mano alla configurazione del server.

th3n0x · 09.11.2004, 14:48

sai mica se su aruba si può fare?!?

GianniT · 09.11.2004, 15:00

non credo proprio.

th3n0x · 09.11.2004, 17:03

scusa la mia insistenza ma quindi dovrei avere un mio server per fare questo

GianniT · 09.11.2004, 19:21

spesso sui server usati per hosting sono già impostate queste direttive. Puoi verificare se anche sul tuo è così eseguendo il seguente script:

PHP Code:


			
 <?php
 phpinfo();
 ?>

o più semplicemente dal pannello amministratore di mambo sistema->informazioni sistema->php info e cerca i paramentri a cui mi riferivo prima

Ribadisco che i problemi principali di sicurezza sono causati dalle applicazioni con bachi piuttosto che da settaggi errati, anche se questi ultimi possono peggiorare la situazione.

Se il server è tuo allora puoi fare tutti i settaggi che vuoi, altrimenti ti tieni quelli del server.