Программирование, Все кто могет программировать - заходи! |
Здравствуйте, гость ( Вход | Регистрация )
Программирование, Все кто могет программировать - заходи! |
18.6.2005, 7:54
Сообщение
#1
|
|
Близко не подходить! Шибко красный! Группа: Участник форума Сообщений: 2304 Регистрация: 8.6.2005 Из: Черняховск||Москва Пользователь №: 211 |
Я создал эту тему, для тех, кто может и, желательно, любит программировать. Неважно, на чём, не важно что - лишь бы было желание.
Сам пишу програмки на Ассемблере, Вижл Бейсик, немного на Делфи. Не чужд серверным скриптам. Есть куча программко-недоделок. Имеется микро-ось. В ближайшее время думаю её продолжить. -------------------- Сайт газеты "Советская Россия": http://sovross.ru/
Пролетарии всех стран, соединяйтесь! |
|
|
5.7.2005, 7:17
Сообщение
#2
|
|
Близко не подходить! Шибко красный! Группа: Участник форума Сообщений: 2304 Регистрация: 8.6.2005 Из: Черняховск||Москва Пользователь №: 211 |
> Да не было там никаких доп таблиц Ладно, коменты повырезал все
> лишние, но особого прироста не видно Вторая фаза ускорения - это заменить следующие вещи: ** } ** ** .activeuserposting a:link, ** .activeuserposting a:visited, ** .activeuserposting a:active, ** .activeuserposting ** { Почему бы альясы не изобразить вот так: { .apsp a:link .apsp A:vstd } Сокращение траффика, думаю, процентов 10 будет Что касается, таблиц - конечно они там не возьмутся. )) > Вопрос - как злопыхатель это отредактирует? Как, как? В блокноте. ))) >И еще - как примерно эта самая sql инъекция работает? Я читал, что при ее >помощи из базы достаются хэши всех паролей, и как следствие можно >попасть >в админку форума без особых проблем, а там уже накуролесить. SQL-инъекция работает на базах данных на движке MySQL. Главная ошибка заключается в том, что есть глюк в обработке SQL-запросов, например непарный символ ' . В резудьтате ответная реакция сервера попросту говоря неадекватная. Можно запрос сформировать таким образом, что все таблицы вывалятся наружу. Подобрать из списка таблиц - таблицу паролей админов - плёвое дело. Сейчас этот текст будет передан методом POST или GET. (не прямой SQL-запрос). Но судя по полям, которые передаются - это именно так. Открываем в блокноте исходный текст страницы, правим парочку функций, на предмет недопустимого параметра (вплоть до непечатных символов), вводим один несуществующий элемент, ну и матюка можно добавить - для крысоты. Считай - сервак завален. )) Сообщение отредактировал fantom - 5.7.2005, 7:22 -------------------- Сайт газеты "Советская Россия": http://sovross.ru/
Пролетарии всех стран, соединяйтесь! |
|
|
Текстовая версия | Сейчас: 27.5.2024, 5:54 |