forum.opennet.ru - "Уязвимости в mod-auth-mysql и GStreamer" (19)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимости в mod-auth-mysql и GStreamer"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в mod-auth-mysql и GStreamer"
Сообщение от opennews (ok) on 26-Янв-09, 15:19
В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена (http://www.openwall.com/lists/oss-security/2009/01/21/10) возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе. Вторая уязвимость (http://trapkit.de/advisories/TKADV2009-003.txt) присутствует в QuickTime плагине из "good" набора кодеков аудиосервера GStreamer. При обработке специально созданного мультимедиа файла, злоумышленник может организовать выполнение своего кода в системе. Уязвимость может быть использована в программах, использующих при своей работе GStreamer, например, Songbird, Totem, Amarok и т.п. Проблема исправлена (http://gstreamer.freedesktop.org/releases/gst-plugins-good/0...) в наборе gst-plugins-good версии 0.10.12. URL: http://www.openwall.com/lists/oss-security/2009/01/21/10 Новость: https://www.opennet.ru/opennews/art.shtml?num=19948
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в mod-auth-mysql и GStreamer, parad, 15:19 , 26-Янв-09, (1)
Уязвимости в mod-auth-mysql и GStreamer, geekkoo, 16:19 , 26-Янв-09, (2)

Уязвимости в mod-auth-mysql и GStreamer, Щекн Итрч, 16:51 , 26-Янв-09, (3)

Уязвимости в mod-auth-mysql и GStreamer, geekkoo, 17:33 , 26-Янв-09, (4)
Уязвимости в mod-auth-mysql и GStreamer, User294, 19:36 , 26-Янв-09, (6)

Уязвимости в mod-auth-mysql и GStreamer, parad, 19:45 , 26-Янв-09, (7)
Уязвимости в mod-auth-mysql и GStreamer, Щекн Итрч, 21:20 , 26-Янв-09, (8)

Уязвимости в mod-auth-mysql и GStreamer, parad, 19:02 , 26-Янв-09, (5)

Уязвимости в mod-auth-mysql и GStreamer, Щекн Итрч, 21:22 , 26-Янв-09, (9)

Уязвимости в mod-auth-mysql и GStreamer, geekkoo, 22:10 , 26-Янв-09, (10)

Уязвимости в mod-auth-mysql и GStreamer, none, 22:54 , 26-Янв-09, (11)

Уязвимости в mod-auth-mysql и GStreamer, geekkoo, 00:11 , 27-Янв-09, (12)

Уязвимости в mod-auth-mysql и GStreamer, parad, 02:38 , 27-Янв-09, (14)
Уязвимости в mod-auth-mysql и GStreamer, none, 07:13 , 27-Янв-09, (15)

Уязвимости в mod-auth-mysql и GStreamer, parad, 02:26 , 27-Янв-09, (13)

Уязвимости в mod-auth-mysql и GStreamer, noname, 09:59 , 27-Янв-09, (17)
Уязвимости в mod-auth-mysql и GStreamer, Щекн Итрч, 20:04 , 27-Янв-09, (19)

Уязвимости в mod-auth-mysql и GStreamer, parad, 23:37 , 27-Янв-09, (20)

Уязвимости в mod-auth-mysql и GStreamer, Щекн Итрч, 00:27 , 28-Янв-09, (21)

Сообщения по теме [Сортировка по времени | RSS]

1. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 26-Янв-09, 15:19

> В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе.
Вот этот набор слов можно заменить на два - скуль енжекшн.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от geekkoo (ok) on 26-Янв-09, 16:19

Да, скоро эти понятия будут нерасторжимы - мы говорим SQL, подразумеваем injection !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от Щекн Итрч (ok) on 26-Янв-09, 16:51

Проверяйте ввод.
Регилия не позволяет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от geekkoo (ok) on 26-Янв-09, 17:33

>Проверяйте ввод.
>Регилия не позволяет?
Ушел в рекурсию на час ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от User294 (??) on 26-Янв-09, 19:36

А что такое "Регилия"?
ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет и кой-какую цену ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 26-Янв-09, 19:45

>А что такое "Регилия"?
>ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет
>и кой-какую цену ;)
ты сам понял какой бред сказал?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:20

Вообще-то sql injection "подвержены" исключительно веб-приложения.
От скриптовых языков/фреймворков, до модулей апача.
Помните об этом.
И примерно миллион ссылок на Postgres, помимо этой.
For the first time I have been in a position to realize that a machine was attacked from an outside source in a production enviroment. A web server running Apache 2 and PostgreSQL was successfully attacked using a SQL injection vulnerability. I first noticed there was a new table in one of our PostgreSQL databases named 't_jiaozhu'.
http://www.rsreese.com/2007/03/sql-injection-attack-on-postg...
# grep t_jiaozhu *fred-access_log:219.153.131.99 - - [25/Mar/2007:11:59:32 -0400] "HEAD /showemploymentopportunity.php?id=38;create%20table%20t_jiaozhu(jiaozhu%20varchar(200)) HTTP/1.1" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 26-Янв-09, 19:02

хз как в мускуле постгря своей апи позволяет надежное защитится от таких неприятностей:
prepare ('select * from func(?,?)');
execute (param1, param2);
и никаких проверок не надо, - не подойдет формат поля - екзекуте вернет ошибку, и где надо все заэкранирует! ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:22

Вообще-то, sql injection атакует веб-сервисы.
А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер пробил через подверженный уязвимости веб-сервис :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от geekkoo (ok) on 26-Янв-09, 22:10

>Вообще-то, sql injection атакует веб-сервисы.
>А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер
>пробил через подверженный уязвимости веб-сервис :)
Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.
Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от none (??) on 26-Янв-09, 22:54

>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.
предложите модель реализации, к примеру, форума, где данная проблема будет решена.

>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?
что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от geekkoo (ok) on 27-Янв-09, 00:11

>>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection.
>
>предложите модель реализации, к примеру, форума, где данная проблема будет решена.
>
Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю в руки выдается полноценный шелл (а SQL - это уже полноценный язык), а потом, когда этот пользователь начинает крушить сервер в мелкую щебенку, начинаются крики - что ж мы наделали и начинаются попытки по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?
>
>>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?
>
>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?
Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html , только никто на неё внимание не обратил ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 27-Янв-09, 02:38

ля, мужики, вы прежде чем писать выучите хоть одну БД. действительно тяжело слушать этот бред. серьездно!..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от none (??) on 27-Янв-09, 07:13

>Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю
>в руки выдается полноценный шелл (а SQL - это уже полноценный
>язык), а потом, когда этот пользователь начинает крушить сервер в мелкую
>щебенку, начинаются крики - что ж мы наделали и начинаются попытки
>по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать?
абсурд вы несете. точно так же можно утверждать: зачем хранить картинки, хтмл-ки, музыку и видео под одним аккаунтам, злоумышлиник получив доступ, может потереть все...

>>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?
>
>Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html
>, только никто на неё внимание не обратил ...
ага, Вы не осилили sql и хотите от него убежать :)
с помощью "ключ-значение" от проблемы описаной вами выше вы не уйдете и не все данные описываются так просто: ключ-значение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 27-Янв-09, 02:26

Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты понял что я написал! - это раз.
Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") дохрена.
Три: еще раз прочитай что я написал про универсальный механизм защиты и сравни с "два".
Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты особо не в теме.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от noname (??) on 27-Янв-09, 09:59

>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
>понял что я написал! - это раз.
>Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
>дохрена.
>Три: еще раз прочитай что я написал про универсальный механизм защиты и
>сравни с "два".
>Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
>особо не в теме.
Да, знакомо ... Стройная система костылей и подпорок ... Прицепим сбоку необязательную статическую типизацию и будем продолжать жрать кактус ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от Щекн Итрч (ok) on 27-Янв-09, 20:04

>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты
>понял что я написал! - это раз.
>Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)")
>дохрена.
>Три: еще раз прочитай что я написал про универсальный механизм защиты и
>сравни с "два".
>Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты
>особо не в теме.
Ощущение, будто бы вы не совсем адекватны? Все хорошо со здоровьем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от parad (ok) on 27-Янв-09, 23:37

да, есть немного: сказывается хронический недосып и переработка...
но это никак не сглаживает ту ахинею что ты выше сказал!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в mod-auth-mysql и GStreamer"

Сообщение от Щекн Итрч (ok) on 28-Янв-09, 00:27

>да, есть немного: сказывается хронический недосып и переработка...
>но это никак не сглаживает ту ахинею что ты выше сказал!
Ну, сбрехнул в полемическом задоре, признаЮ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в mod-auth-mysql и GStreamer"
Сообщение от parad (ok) on 26-Янв-09, 15:19
> В mod-auth-mysql, модуле аутентификации в MySQL для http-сервера Apache 2, обнаружена возможность подстановки злоумышленником SQL кода, из-за отсутствия надлежащей проверки экранированных символов, при использовании многобайтовых кодировок, перед их использованием в SQL запросе. Вот этот набор слов можно заменить на два - скуль енжекшн.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимости в mod-auth-mysql и GStreamer"
Сообщение от geekkoo (ok) on 26-Янв-09, 16:19
Да, скоро эти понятия будут нерасторжимы - мы говорим SQL, подразумеваем injection !
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от Щекн Итрч (ok) on 26-Янв-09, 16:51
	Проверяйте ввод. Регилия не позволяет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от geekkoo (ok) on 26-Янв-09, 17:33
	>Проверяйте ввод. >Регилия не позволяет? Ушел в рекурсию на час ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от User294 (??) on 26-Янв-09, 19:36
	А что такое "Регилия"? ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет и кой-какую цену ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от parad (ok) on 26-Янв-09, 19:45
	>А что такое "Регилия"? >ЗЫ а ведь sql базы и правда подвержены sql injection =).Удобство имеет >и кой-какую цену ;) ты сам понял какой бред сказал?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:20
	Вообще-то sql injection "подвержены" исключительно веб-приложения. От скриптовых языков/фреймворков, до модулей апача. Помните об этом. И примерно миллион ссылок на Postgres, помимо этой. For the first time I have been in a position to realize that a machine was attacked from an outside source in a production enviroment. A web server running Apache 2 and PostgreSQL was successfully attacked using a SQL injection vulnerability. I first noticed there was a new table in one of our PostgreSQL databases named 't_jiaozhu'. http://www.rsreese.com/2007/03/sql-injection-attack-on-postg... # grep t_jiaozhu *fred-access_log:219.153.131.99 - - [25/Mar/2007:11:59:32 -0400] "HEAD /showemploymentopportunity.php?id=38;create%20table%20t_jiaozhu(jiaozhu%20varchar(200)) HTTP/1.1" 200 - "-" "Mozilla/3.0 (compatible; Indy Library)"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимости в mod-auth-mysql и GStreamer"
Сообщение от parad (ok) on 26-Янв-09, 19:02
хз как в мускуле постгря своей апи позволяет надежное защитится от таких неприятностей: prepare ('select * from func(?,?)'); execute (param1, param2); и никаких проверок не надо, - не подойдет формат поля - екзекуте вернет ошибку, и где надо все заэкранирует! ))
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от Щекн Итрч (ok) on 26-Янв-09, 21:22
	Вообще-то, sql injection атакует веб-сервисы. А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер пробил через подверженный уязвимости веб-сервис :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от geekkoo (ok) on 26-Янв-09, 22:10
	>Вообще-то, sql injection атакует веб-сервисы. >А SQL сервер, вообразите себе, исполняет СОВЕРШЕННО ЗАКОННЫЕ sql команды, которые атакер >пробил через подверженный уязвимости веб-сервис :) Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection. Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от none (??) on 26-Янв-09, 22:54
	>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection. предложите модель реализации, к примеру, форума, где данная проблема будет решена. >Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё? что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от geekkoo (ok) on 27-Янв-09, 00:11
	>>Всё правильно - только количество приложений, где пользователь соединяется с SQL-сервером под своим именем, составляет несколько процентов от тех, где SQL используется просто в качестве движка для хранения данных приложения (в сущности к серверу подключается всего один пользователь, но при этом с очень широкими полномочиями). А такая ситуация как раз и провоцирует injection. > >предложите модель реализации, к примеру, форума, где данная проблема будет решена. > Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю в руки выдается полноценный шелл (а SQL - это уже полноценный язык), а потом, когда этот пользователь начинает крушить сервер в мелкую щебенку, начинаются крики - что ж мы наделали и начинаются попытки по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать? > >>Так что приходится делать многоступенчатый парсинг - в начале идет проверка ввода, потом мучительно набиваются тексты запросов, потом сервер парсит этот запрос, выдает ответ, а потом этот ответ ещё и приводится к необходимому типу ... Ну, и нафига это всё? > >что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали? Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html , только никто на неё внимание не обратил ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от parad (ok) on 27-Янв-09, 02:38
	ля, мужики, вы прежде чем писать выучите хоть одну БД. действительно тяжело слушать этот бред. серьездно!..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от none (??) on 27-Янв-09, 07:13
	>Откуда мне знать :( Просто поражает сама абсурдность ситуации - вначале пользователю >в руки выдается полноценный шелл (а SQL - это уже полноценный >язык), а потом, когда этот пользователь начинает крушить сервер в мелкую >щебенку, начинаются крики - что ж мы наделали и начинаются попытки >по-максимуму изолировать пользователя от этого шелла. Зачем тогда было давать? абсурд вы несете. точно так же можно утверждать: зачем хранить картинки, хтмл-ки, музыку и видео под одним аккаунтам, злоумышлиник получив доступ, может потереть все... >>что-то другое можете предложить? нанять десять китайцев что-бы они хтмл-ки строгали? > >Все тоже самое, только без SQL-я. Недавно же была новость - https://www.opennet.ru/openforum/vsluhforumID3/48432.html >, только никто на неё внимание не обратил ... ага, Вы не осилили sql и хотите от него убежать :) с помощью "ключ-значение" от проблемы описаной вами выше вы не уйдете и не все данные описываются так просто: ключ-значение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от parad (ok) on 27-Янв-09, 02:26
	Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты понял что я написал! - это раз. Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") дохрена. Три: еще раз прочитай что я написал про универсальный механизм защиты и сравни с "два". Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты особо не в теме.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от noname (??) on 27-Янв-09, 09:59
	>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты >понял что я написал! - это раз. >Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") >дохрена. >Три: еще раз прочитай что я написал про универсальный механизм защиты и >сравни с "два". >Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты >особо не в теме. Да, знакомо ... Стройная система костылей и подпорок ... Прицепим сбоку необязательную статическую типизацию и будем продолжать жрать кактус ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от Щекн Итрч (ok) on 27-Янв-09, 20:04
	>Прочитай в начале что я написал столько раз, сколько необходимо чтобы ты >понял что я написал! - это раз. >Два: #удаков использующих конструкции вида: do ("insert into table1 values ($post[param1], $post[param2],...)") >дохрена. >Три: еще раз прочитай что я написал про универсальный механизм защиты и >сравни с "два". >Ч-ре: судя по твоей терминологии и туфте которую ты городишь - ты >особо не в теме. Ощущение, будто бы вы не совсем адекватны? Все хорошо со здоровьем?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от parad (ok) on 27-Янв-09, 23:37
	да, есть немного: сказывается хронический недосып и переработка... но это никак не сглаживает ту ахинею что ты выше сказал!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в mod-auth-mysql и GStreamer"
	Сообщение от Щекн Итрч (ok) on 28-Янв-09, 00:27
	>да, есть немного: сказывается хронический недосып и переработка... >но это никак не сглаживает ту ахинею что ты выше сказал! Ну, сбрехнул в полемическом задоре, признаЮ.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]