存档

文章标签 ‘sql注射’

rockyou.com的SQL漏洞使得3200万用户密码遭泄露

2009年12月16日 1 条评论

大多数人在很多的地方使用相同的密码已经不是一个什么秘密了,这样确实很方便,但只要你的密码在一个地方被泄露,整个生活就会发生很大的问题。如果你有使用相同的密码习惯而且你有RockYou的账号,那么你就得改密码了。

rockyou.com是一个社交网络类型的网站,拥有3200万(再精确一点事32603388)的注册用户。这周,安全公司Imperva向RockYou警告说他们的程序有一些SQL注入漏洞。此漏洞可以使入侵者得到获取全部用户资料(包括用户名、密码和Emai)的权限。

阅读全文…

SQL Injection Mitigation: Using Parameterized Queries

2009年9月8日 评论已被关闭

本文详细介绍了如何做Use SQL Parameterized Queries.

阅读全文…

Giving SQL Injection the Respect it Deserves

2009年9月8日 评论已被关闭

michael总结了三个防御SQL注射的方法,都需要修改现有代码,虽然neil说输入过滤不是一个防止SQL注射的好办法,但我觉得它是一个通用的办法,对现有项目来说是一个好办法,对未来的项目,还是可以考虑结合michael在SDL里的建议去要求和规范。有一个现成的工具检查以下三点吗?

Use SQL Parameterized Queries
Use Stored Procedures
Use SQL Execute-only Permissions

阅读全文…

Input Validation Is Not The Answer

2009年9月8日 评论已被关闭

I just sent a piece of e-mail to my team about input validation and SQL injection and it occurred to me that I’ve been meaning to get into this here, too:

If you’re trying to solve a SQL injection problem, input validation is NOT the answer!

There, I’ve said it.   I keep seeing blog posts, forum posts, e-mail, etc, that say “Oh, you got hax0red by SQL injection, you should have been doing input validation”.  I’m sorry, but y’all are wrong, wrong, wrong, wrong.  Let me copy-and-paste my e-mail to explain why:

阅读全文…