SQL Injekcijų testavimas

Sveiki. Pats nesugebu to pilnai padaryti, todėl prašau Jūsų pagalbos. Ar neatsirastų norinčių ir galinčių pratestuoti sistemą su laukeliais ir patikrinti, ar sunku atlikti SQL injekcijas (MySQL/PDO). Mano skype: liulis120. Jeigu turit klausimų į komentarus.

Rule of thumb: jei religingai naudoji prepared statements, injekcijų nebus.

Rule of thumb: jei religingai naudoji prepared statements, injekcijų nebus.

Nenaudoju prepared statements, naudoju query. Tikrinau su „Subgraph Vega“, bet nerado visiškai nieko, kuo galėtų įsibrauti į duom.baze ar atlikti joje nelegalius veiksmus.

Nenaudoju prepared statements, naudoju query. Tikrinau su „Subgraph Vega", bet nerado visiškai nieko, kuo galėtų įsibrauti į duom.baze ar atlikti joje nelegalius veiksmus.

Prepared statements yra toolas, kuris 'automatizuoja' query sukurima. Naudojantis siuo metodu, visi tavo pateikti duomenys yra automatiskai escapinami. Jei jo nenaudoji, o ranka rasai visas queries, tada jei escapinai visus duomenis, turetum buti apsisaugojes nuo SQLinjection.

Beje, nepamirsk apsisaugoti ir nuo XSS.

Kad ir su kokiu tool'u betikrintum, tikrai nė vienas nepatikrins 100%.

Jei nori sužinot, ar pažeidžiamas web'as apskritai (ne tik sqli), ieškok ir samdykis kokį blackhat'ą, kuris sutiktų už atitinkamą sumą užsiimt pentestingu:)