SQL Injection

[darkcs]

Прошу помощи.Сканер нашел вот такое

/pages/account/_insert.php
145:   <input type="hidden" name="PAYMENT_AMOUNT" value="'.$_POST['sum'].'">XSS!
/pages/account/_insertpm.php
51:<input type="hidden" name="PAYMENT_AMOUNT" value="'.$_POST['sum'].'">XSS!
/pages/admin/_about.php
61:$db->Query("UPDATE db_conabrul SET about = '".$_POST["tx"]."' WHERE id = '1'");SQL Injection!

[kvozimir]

типа фильтрацию поставить надо...


вот вы сканером проверяете и спрашиваете как исправить,но на сколько мне известно сканер так же показывает как исправить

[maks161]

типа фильтрацию поставить надо...


вот вы сканером проверяете и спрашиваете как исправить,но на сколько мне известно сканер так же показывает как исправить

Нет, он показывает только вредоносные коды и всё! А проверяешь ты сам смотришь что за код и надо ли его удалить! Бывает такое что обычный плеер или радио тоже в подозрении!

[kvozimir]

И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?

[maks161]

И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?

Обычный нормальный бесплатный сканер! Я такое в первый раз слышу чтобы сканер ещё и сам исправлял! Он только выделяет конкретно вредоносный код от куда и до куда!

[maks161]

И ЧТО ЖЕ У ВАС ЗА СКАНЕР ТАКОЙ?

Скинь мне даже интересно посмотреть на сканер который сам исправляет,не видел такого!

[kvozimir]

не знаю что у вас за сканер у меня вот так

SQL Injection

[maks161]

не знаю что у вас за сканер у меня вот так

SQL Injection

Поделись сканером!?

[kvozimir]

http://find-xss.net/scanner/

[lessy]

сканер хорош но платный((

[kvozimir]

сканер хорош но платный((

особой разницы нет в платной и бесплатной версии

[lessy]

в безплатной не показует исправления

[kvozimir]

в безплатной не показует исправления

скрин показывал с бесплатного

[lessy]

SQL Injection

у меня так))

[lessy]

все понял надо выбрать починить автоматом))

[partner2]

Обычный нормальный бесплатный сканер! Я такое в первый раз слышу чтобы сканер ещё и сам исправлял! Он только выделяет конкретно вредоносный код от куда и до куда!

[finans13]

Хороший этот сканер, который Леха кинул, я просто делаю так, собираю 4-5 скиптов, покупаю на сутки тариф и сразу все правлю.. там показывает как и что тебе надо.

[whoohaw]

Проверять скрипты сканером - это равносильно тому, как Вы будете переходить дорогу с закрытыми глазами. Если повезет - то перейдете.

Например, один из предложенных вариантов исправления скрипта на экранирование символов -  mysql_real_escape_string() уже не будет работать корректно на новых версиях PHP. Да и фильтрацией это трудно назвать. Это лишь составная правильной фильтрации. Одним mysql_real_escape_string не обойтись на приведенную переменную в примере. Работа такого сканера построена на поиске POST и GET запросов, и предложении распространенных вариантов исправления. Но не везде нужна фильтрация для этих запросов и не везде подходят эти варианты. Сканер не понимает работу Ваших скриптов и он не знает какие данные поступают на сервер. Я Вам рекомендую перечитать несколько статей о корректности фильтрации и при чем по несколько раз! Это нужно не для того, чтобы запомнить где и что использовать, это необходимо для того, что бы научиться понимать правильность и корректность фильтраций.
PS: Все сводится к использованию PDO на PHP+mysql, а там фильтрация не нужна! Вот так вот.

[andreysVes]

Проблема такая, sql injection в моде нашли, никто не подскажет, как защититься от этого? И как вообще найти эту дыру

[finans13]

Проблема такая, sql injection в моде нашли

выше дали сканер который тебе поможет найти и исправить. вискас хоть жути и ногнал по сканерам но они хорошо помогают.то что через сканеры чистил, не разу никто не ломал. Проходишь по стондартным фаилам загрузки, аватар, чат, кнб.. и тому бодобное,,, ставишь на все фаилы права только на чтение, пароль с привязкой кошелька, и все будет замечательно.. главное по меньше модулей с паблика, кнб я уже тут писал как его дербанят.

[maks161]

выше дали сканер который тебе поможет найти и исправить. вискас хоть жути и ногнал по сканерам но они хорошо помогают.то что через сканеры чистил, не разу никто не ломал. Проходишь по стондартным фаилам загрузки, аватар, чат, кнб.. и тому бодобное,,, ставишь на все фаилы права только на чтение, пароль с привязкой кошелька, и все будет замечательно.. главное по меньше модулей с паблика, кнб я уже тут писал как его дербанят.

Вискас прав. Я поддерживаю а сканеры это все чипуха тебе просто везло что после сканера не ломали.

[finans13]

Вискас прав. Я поддерживаю а сканеры это все чипуха тебе просто везло что после сканера не ломали.

Да не гоните беса вместе с вискасом, да не вопрос школьникам надо рассказывать, что чистка и т.д. только через супер прогеров,,, у меня 3 буксика, по 2 года каждому, и мне не хрена не повезло, чистил я их именно через этот сканер, и не одна курва уже 2 года ни чего ломануть не может.. Грамотна главна настрой, и не ставь беспантовые - дрявые модули с паба. и будет тебе счастье.
Добавлено сообщение: 21 Мая 2018, 19:30:50

Да не гоните беса вместе с вискасом, да не вопрос школьникам надо рассказывать, что чистка и т.д. только через супер прогеров,,, у меня 3 буксика, по 2 года каждому, и мне не хрена не повезло, чистил я их именно через этот сканер, и не одна курва уже 2 года ни чего ломануть не может.. Грамотна главна настрой, и не ставь беспантовые - дрявые модули с паба. и будет тебе счастье.

Плюс пятерым людям игры делал, и не у кого не копейки не угнали, обходился только сканерами, получается им тоже повезло.

[maks161]

ну да игорь с каких это пор ты стал великим прогером.

[whoohaw]

Сканер - есть сканер. Даже платный сканер это только 70-80% реальной защиты. Он не человек и он даже может не увидеть всех прикрас скрипта и пропустить инъекцию, только потому, что она прописана и объявлена в скрипте нестандартно.
Сканер работает только по своему алгоритму. Любой входящий текст от пользователя он будет фильтровать по mysql_real_escape_string. Функция сама по себе одна не отфильтрует от всех уязвимостей, да и она является устаревшей. Если твои буксы еще никто не ломал - я очень рад, но это еще не значит, что он не уязвим. Либо не столь популярен среди остальных на фоне, либо его не трогал еще опытный взломщик.

Со своей стороны я только поддерживаю проекты, которые работают долго и платят пользователям. Поддерживаю админов, которые заботятся о безопасности проектов. Но, поверь, на моей практике не мало случаев, когда одним сканером не обходилось. Может букс изначально был не столь дыряв, что пройдя сканером, удалось достаточно защититься.

Фермы страдают больше и чаще, так как они признано завоевывают бОльший интерес пользователей и школьников )))

[finans13]

ну да игорь с каких это пор ты стал великим прогером

а ты с каких пор им стал
мне то люди доверяют, я им проекты открываю, и у меня проекты уже по 2 года работают без косяков, так что это о чем то говорит. По русски еще раз пишу, имей чистый скрипт, и не ставь туда Цензура модули...
Да и с тех пор стал им когда люди начали обращаться, и все у них стало замечательно, а у вас только одно... деньги за копеечную помощь, вот проекты http://prntscr.com/jl7xpg не когда в жизни их не перебьете, если даже всей бандой на этом форуме соберетесь, но эти проекты, не одна масть не смогла ломануть, вот тебе и результат.. значит стал. Ребятам помогал.