query strana rilevata da analytics

**zoc** · 07-05-2012, 09:41

ciao a tutti.
Stavo vedendo i miei dati di analytics quando ho visto che una pagina con il seguente link è stata vista più volte:

/nome-pagina.php?id=22' : SQLi Vulnerable

sapete cosa significa?

grazie mille!

**Habanero** · 07-05-2012, 10:17

l'apice singolo dopo il campo numerico è un tentativo di verificare se è possibile una sql injection.

**zoc** · 07-05-2012, 12:35

quindi stanno cercando di forare il sito?
come posso sapere se ci sono riusciti?

grazie mille!

**Habanero** · 16-05-2012, 10:41

comincia col testare se richiamando quell'url si ottiene un errore...

**zoc** · 17-05-2012, 12:11

mi restituisce questo:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /web/htdocs/www.miosito.it/home/miapagina.php on line 20

help! grazie!

**Habanero** · 17-05-2012, 14:34

beh... indubbiamente qualche tipo di vulnerabilità esiste... significa che non validi i parametri passati via GET nella querystring... questo fa si che possa essere possibile forgiare dall'esterno la query che viene fatta al DB.

**zoc** · 17-05-2012, 14:44

ok.... quindi visto che passo solo l'id devo verificare che sia un numero.
Poi se lo è faccio la query e se recupero risultati li stampo.
Giusto?

**Habanero** · 17-05-2012, 22:16

in linea di massima sì... spesso basta un cast a int del parametro e poi un test se il valore è 0.

**zoc** · 18-05-2012, 13:06

ok grazie mille!

Discussione: query strana rilevata da analytics

Strumenti discussione

Ricerca discussione

Visualizza

query strana rilevata da analytics

Permessi di invio