Veteran
پنج شنبه 20 تیر 1392, 12:28 عصر
عرض سلام خدمت تمامی دوستان :قلب:
من توی پروژه ایی که در دست برنامه نویسی قرار داره دارم از SP ها استفاده میکنم برای جلوگیری از SQL injection
مثلا برای وارد کردن به جدول
CREATE PROCEDURE `sp_content_list_Insert`(IN _title varchar(255), IN _des text, IN _parent int, IN _date bigint, IN _tags varchar(255))
BEGIN
INSERT INTO `content_list`
(`title` , `des` , `parent` , `date` , `tags` )
VALUES(_title , _des , _parent, _date , _tags );
END
حالا ما اینو با کوئری های پارامتر دار PDO اجرا میکنیم تا از SQL injection جلو گیری کنیم
پارامتر های خود SP هم که نوع داده دارن !
اما حالا میخوام ببینم از باگ XSS هم جلوگیری میکنه ؟!
اخه من خودم
اومدم دستی توی دیتابیس اینو وارد کردم
<script>alert('hacked')</script>
و بعد که توی برنامه مقادیر رو از بانک خودنم و چاپ کردم
توی برنامه پیغام hacked به نمایش دراومد
اما
از طریق برنامه به وسیله SP هم که وارد کردم مقداری که از طریق برنامه وارده بانک شد اینه
<script>alert('hacked')</script>
و بعدش برنامه رو اجرا کردم ولی پیغام نمایش داده نشد.مثل ی بچه خوب روی صفحه چاپ شد
به عبارتی خنثی شد.
======
حالا میخوام ببینم تا همین حد برای XSS کافیه ؟
راه دور زدن ممکنه داشته باشه ؟
من توی پروژه ایی که در دست برنامه نویسی قرار داره دارم از SP ها استفاده میکنم برای جلوگیری از SQL injection
مثلا برای وارد کردن به جدول
CREATE PROCEDURE `sp_content_list_Insert`(IN _title varchar(255), IN _des text, IN _parent int, IN _date bigint, IN _tags varchar(255))
BEGIN
INSERT INTO `content_list`
(`title` , `des` , `parent` , `date` , `tags` )
VALUES(_title , _des , _parent, _date , _tags );
END
حالا ما اینو با کوئری های پارامتر دار PDO اجرا میکنیم تا از SQL injection جلو گیری کنیم
پارامتر های خود SP هم که نوع داده دارن !
اما حالا میخوام ببینم از باگ XSS هم جلوگیری میکنه ؟!
اخه من خودم
اومدم دستی توی دیتابیس اینو وارد کردم
<script>alert('hacked')</script>
و بعد که توی برنامه مقادیر رو از بانک خودنم و چاپ کردم
توی برنامه پیغام hacked به نمایش دراومد
اما
از طریق برنامه به وسیله SP هم که وارد کردم مقداری که از طریق برنامه وارده بانک شد اینه
<script>alert('hacked')</script>
و بعدش برنامه رو اجرا کردم ولی پیغام نمایش داده نشد.مثل ی بچه خوب روی صفحه چاپ شد
به عبارتی خنثی شد.
======
حالا میخوام ببینم تا همین حد برای XSS کافیه ؟
راه دور زدن ممکنه داشته باشه ؟