SQL инъекция

Рет қаралды 44,195

Volodya Mozhenkov

Күн бұрын

Пікірлер: 73

@nelkor3427 7 жыл бұрын

Неплохо Иисус рассказывает.

@NONAME-ko5zn 6 жыл бұрын

Ору

@danboy521 6 жыл бұрын

Этл не Иисус! Это Квай гон джин из зв!!!!!

@vassi2901 4 жыл бұрын

2020 лет назад походу он тоже самое рассказывал, но люди его тогда не поняли и распяли

@romandeveloper5653 5 жыл бұрын

Володя, спасибо за уроки! Доходчиво и понятно объясняешь! Не мог бы ты порекомендовать какую-либо книгу по sql, которая была бы полезна тем у, кого уже есть опыт в работе с БД? Так скажем, закрепить навыки, повысить квалификацию.)

@live_man 2 жыл бұрын

Это одно из немногих видео на тему IT я посмотрел с интересом

@AlexAnder-os1lv 8 жыл бұрын

Очень интересный способ, никогда о таком не слышал. Всегда регулярками проверял и удалял лишнее другими функциями, но это явно проще и безопаснее должно быть. Спасибо)

@svetlanamazhaykina6918 3 жыл бұрын

Спасибо за Ваш труд! Здоровья Вам и процветания!

@vns.91 5 жыл бұрын

Спаси и сохрани!

@АнтК-я9к 7 жыл бұрын

для полноты картины кадило не хватает)

@lisafox9026 4 жыл бұрын

а тебе ума

@АнтК-я9к 4 жыл бұрын

@@lisafox9026 ну если он реально на попа похож =)

@beardtreasure 4 жыл бұрын

@@АнтК-я9к он похож на брутального блэк-металлиста! И он охеренно крутой чел)

@respect_tj1 5 жыл бұрын

Когда спишь держишь бороду над одеялом или под неё?

@landosibur 5 жыл бұрын

с церкви пнули, ушел в хакеры

@lisafox9026 4 жыл бұрын

а в чем дело сибур ? это как то на знания влияет? и кому твое мнение нужно тут?

@landosibur 2 жыл бұрын

@@lisafox9026 видео назвать - взлом парикмахерской

@юрийлолов 9 жыл бұрын

привет спасибо за видео) Больше бы видео о защите!

@sgrodnik 6 жыл бұрын

Спасибо за видос! Я не смог понять: connect это же не аналог str.replace? Где это можно почитать о питоне?

@webenotlinux4860 7 жыл бұрын

Володя, а ты C++ изучал? Ты отлично объясняешь! Может снимешь видео по языку?

@BenderZadunaiski 10 жыл бұрын

допустим я хочу взл...ну проверить )))

@ТузикШариков-щ5м 3 жыл бұрын

Вы отсылаете к другому видео.... ну ссылку то в описании дайте!

@404Negative 5 жыл бұрын

забавно что за весь ролик ни разу не прозвучало слово "экранирование"

@АндрейШлыков-д9э 11 жыл бұрын

Хорошее видео. По ходу просмотра возникают некоторые мысли: 1. А можно ли и логин тоже хешировать? 2. Было бы интересно провести опрос среди рядовых пользователей: насколько вы испытываете необходимость использовать в своём логине одинарные кавычки и куски кода на языке SQL?

@VladimirMozhenkov 11 жыл бұрын

А если вы используете подготовленные вырожения, то хешировать вам и не надо. Извиняюсь если где-то плохо объяснил, но такой способ записи в базу данных ничего не хеширует, а просто позволяет добавить данные "как есть", то есть без попытки базы данных анализирования пользовательской информации, как собственного кода.

@VladimirMozhenkov 11 жыл бұрын

А хеширование в дальнейшем не позволит вам выводить логин на вашем сайте. То есть если у вас есть вывод комментариев, вы сможете сказать "Пользователь1", "Пользователь2", и тд, а вот логин вы уже не покажете. Это конечно можно обойти и спросить у пользователя имя и выводить именно его, но оно уже не будет уникально. Так что надо будет следить, чтобы люди не выдавали себя за другого.

@АндрейШлыков-д9э 11 жыл бұрын

Vladimir Mozhenkov Нет, всё было объяснено предельно ясно.

@olgaa3651 6 жыл бұрын

Не понятно про какое видео говорится вначале. :( Что надо посмотреть перед этим? Ссылку можно?

@Sjaand1 6 жыл бұрын

kzbin.info/www/bejne/gHizZIehadWKf5o

@nailsv5924 4 жыл бұрын

божественно объяснил

@vladimirvarf5165 4 жыл бұрын

Спасибо что делитесь знаниями. Удивительно что вам их не жалко в нашем алчном мире...

@Ottonturk 10 жыл бұрын

ТОЛЬКО наткнулся на ваши видео: скажите, пожалуйста, по программированию sql вы рассказываете что-то подробно? Спасибо!

@VladimirMozhenkov 10 жыл бұрын

Ottonturk Пока что записал только видео про JOIN-ы.

@realman5573 9 жыл бұрын

Vladimir Mozhenkov спасибо за видео, хотелось бы уроки по БД

@Moonsters100 9 жыл бұрын

Хм.. интересно, если же все так просто, то почему я впервые слышу о таком подходе и это после того, как я перелопатил груду материала и все как один экранируют входящие данные функцией mysql_escape_string().. Но все же урок достоин внимания, спасибо! И еще одно, если вводимые данные придется из БД выводить, то лучше сразу обработать их htmlspecialchars() или же strip_tags(), что бы удалять html теги вообще..

@VladimirMozhenkov 9 жыл бұрын

Moon- -Ster Вы впервые о нём слышите, из-за того, что в россии очень часто используют копипаст при публикации даже книг. Получается, что материал опубликованый в 2015-ом году может просто быть копией книги 2011-го, которая была копией 2007, та копией 2005... и тд. На счёт htmlspecialchars, я-бы порекомендовал сразу использовать filter_input, там есть фильтры даже более полезные чем то, что делает htmlspecialchars. На счёт того, пропускать через фильтрацию при записи в БД или при чтении из неё, это зависит от того, что именно вы собираетесь делать. Но советую выбрать подход на сайте, и для всех данных делать одно и тоже, иначе может получиться, что где-то отфильтравали дважды (испортив даже нормальный текст), а где-то забыли отфильтровать (поставив пользователей под удар XSS).

@crashoverride9681 8 жыл бұрын

Спасибо!

@namelessnew9516 9 ай бұрын

Сам Иисус наполнил меня знаниями, спасибо!

@Thom_Jefferson 7 жыл бұрын

Прошу заметить что не только на сайтах можно производить sql injection но и в играх...Почти все онлайн сервера хранят данные в БД. Найдя дырку и поправив пакеты можно создать в БД что то новое)))

@haslich 2 жыл бұрын

я в сампе через ввод пароля один раз базу дампнул)

@ВикторЧайков-ъ3д 4 жыл бұрын

Почему нельзя сделать if ('\'' in $login) {echo 'Пошёл нахрен!';} ???

@alexeicodes 4 жыл бұрын

отличные видео)

@linuxedhorse 10 жыл бұрын

Спасибо за урок, только инЪекция :)

@VladimirMozhenkov 10 жыл бұрын

Странно, а с каких пор появилась приставка ин в русском?

@linuxedhorse 10 жыл бұрын

" В иноязычных словах после иноязычных приставок аб-, ад-, диз-, ин-, интер-, кон-, контр-, об-, суб-, транс- и после начальной частицы пан-, например: адъютант, дизъюнкция, инъекция, интеръекционный, конъюнктура, контръярус, объект, субъект, трансъевропейский, панъевропейский." (c) Грамота.ру Строго говоря, это заимствованное слово, а на них часто действуют свои правила.

@VladimirMozhenkov 10 жыл бұрын

Уже исправил. Благодарю!

@404Negative 5 жыл бұрын

обнаружен гуманитарий. желаете удалить ? [OK] [Cancel]

@КонстантинЪЪЪ 4 жыл бұрын

jesus! it's amazing

@НикитаШмаль-ь7э 3 жыл бұрын

Славься Володя!

@gideonwait9813 5 жыл бұрын

Аминь !

@ВасилийЯнки 8 жыл бұрын

Как пример по отношению с фишкой or ''='': if(isset($_POST['login']) && isset($_POST['password'])) { // выборка из базы данных, проверка наличия введенного логина и пароля $data=mysqli_query($link_db,"SELECT login, password FROM users"); $user=mysqli_fetch_assoc($data); // проверка соответствий введенных данных в форму и выборки с базы данных if(htmlspecialchars($_POST['login'])==$user['login'] && md5(htmlspecialchars($_POST['password']))==$user['password']) { // ...код... } } Код я писал довольно давно, возможно htmlspecialchars может быть лишним в данном моменте как и md5.

@kapusta-v-lui-vi 7 жыл бұрын

Код ужасный. В PHP уже не используются функции mysql_, есть PDO. Даже PDO уже считается не особо актуальным. Далее Вы создаете иерархию кода, вкладывая условие в условие. Можно проверять на неправильность и возвращать функцию: if( !$data ) return false; return $data;

@Стасгаевой-ж3ф 4 жыл бұрын

Connected "Svoboda" ? Ор !

@vladimirberezhnev8124 3 жыл бұрын

Просвещение от самого Иисуса!

@НХАХГХЛХЫХЙ 5 жыл бұрын

крутая у тебя прическа. вот борода мешает .

@daanl88l 4 жыл бұрын

Ну в логине и пароле запретить кавычки, подчеркивания, черточки и пробелы, что плохого? Привыкли же что в винде нельзя создавать папки с именами где есть вопросы, слеши и т.п. ...

@helloslayer666 Жыл бұрын

Это очень упростит брутфорс

@nikitagundorov9906 4 жыл бұрын

Не думал что есть такие идиотские дыры. я думал что всё что вводит пользователь это переменные типа-string и потом их надо преобразовывать.

@lisafox9026 4 жыл бұрын

те кто обсуждает внешний вид, просто НЕ программеры а просто нарики которым нечего делать. потому что программер слушает лекцию и нам пофиг кто как одет, на работе куча фриков и очень умные !!!!

@ТюзМайский 5 жыл бұрын

Паук телегу толкает

@ekvineks 4 жыл бұрын

Лобанов да хорош

@xenonist4502 5 жыл бұрын

Да чё за соль то такая?

@ИгорьБернацкий-э3о 3 жыл бұрын

md5($salt.$pass) - просто некая уникальная переменная, которая смешивается с паролем. md5 можно подобрать, но если неизвестна соль, то подбор практически нереален. Другое дело, что соль необходимо хранить не в базе данных, как показано в видео, а где-нибудь в конфиг файлах. Дело в том, что если, например, с помощью sql инъекций узнали какие-то ваши данные с бд, то и соль, соответственно, будет известна и толку от её присутствия нет никакого.