OpenForum RSS: Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com https://www.opennet.ru/openforum/vsluhforumID3/75865.html Поступило сообщение (http://seclists.org/fulldisclosure/2011/Mar/309) об успешном взломе сайтов MySQL.com и Sun.com, а также некоторых связанных с ними субпроектов. Примечательно, что проникновение было совершено через простейшую уязвимость, позволившую осуществить подстановку SQL-кода (http://ru.wikipedia.org/wiki/%D0%92%D0%BD%D0%B5%D0%B4%D1%80%D0%B5%D0%BD%D0%B8%D0%B5_SQL-%D0%BA%D0%BE%D0%B4%D0%B0) из-за некорректной проверки одного из параметров скрипта, используемого для предоставления клиентских сервисов. По доступным в настоящий момент данным, взлом ограничился только доступом к СУБД. Пока нет никаких сведений, указывающих на то, что атакующим удалось получить доступ к серверу или web-движку.<br><br><br> Атакующие уже опубликовали в открытом доступе список всех обслуживаемых на взломанном сервере баз данных и перечень некоторых таблиц. В одной из таблиц содержался список пользователей и администраторов СУБД. Большинство паролей для пользователей в данном списке было представлено в виде ...<br><br>URL: http://techie- Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (Crazy Alex) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#64 Wed, 30 Mar 2011 16:22:21 GMT Вот, собственно, пока такого не будет во встроенных функциях, быдлокодеры этим пользоваться не будут.<br><br>Но SQL - это идиотизм сам по себе. Просто поразительно, как "близкий к естественному" язык для менеджеров" прижился в программировании. С упорядоченностью элементов запроса (к примеру, нельзя перемешать FROM и WHERE), с необходимостью пихать бестолковые AND и OR и тому подобным. Хотя для программизма можно было бы сделать что-нибудь гораздо более удобное для генерации, как минимум с допустимостью любого порядка элементов запроса и конкатенацией повторяющихся элементов (т.е. если пишем подряд два FROM, к примеру, то их содержимое объединяется), с возможностью подстановки любых при выполнении, а не только значений параметров (например, чтобы имя таблицы подставлялось или порядок сортировки). Да, в отдельных случаях такое не будет препариться - но обычно оно и не надо. То есть должны быть две разные функции - "указать шаблон запроса" со смыслом "это каркас, который не должен меняться, а должны только подставл Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (ананим) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#63 Wed, 30 Mar 2011 15:03:58 GMT ну и какие там слои?<br>очередное враньё.<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (Sw00p aka Jerom) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#62 Tue, 29 Mar 2011 20:49:11 GMT вот комент http://www.opennet.ru/opennews/art.shtml?num=30043#44<br>а вот пруфы<br><br>http://download.oracle.com/javase/tutorial/jdbc/basics/prepared.html<br>http://download.oracle.com/javase/1.4.2/docs/api/java/sql/PreparedStatement.html<br>http://download.oracle.com/javase/1.4.2/docs/api/java/sql/PreparedStatement.html<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (ананим) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#61 Tue, 29 Mar 2011 18:18:18 GMT нету там.<br>приводи тут. или просто врёшь.<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (Alex) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#60 Tue, 29 Mar 2011 12:35:27 GMT &gt;$ids = array();<br>&gt;.....<br>&gt;$sql = 'DELETE FROM SomeTable WHERE record_id IN ('.implode(',', $ids).')';<br><br>Это делается так с помощью PDO:<br><br>$sql = 'DELETE FROM SomeTable WHERE record_id IN ('.rtrim(str_repeat("?,", count($ids)),',').')';<br>$sth = $dbh-&gt;prepare($sql);<br>$sth-&gt;execute($ids);<br><br>Само-собой вставку вопросиков лучше разбить на несколько строк (для более лёгкой читаемости), и перенести в функцию (т.к. всё равно в коде будем юзать не один раз)<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (Sw00p aka Jerom) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#59 Tue, 29 Mar 2011 11:38:37 GMT &gt; А на пальцах? А с пруфлинками?<br>&gt; Может вы тоже не в теме?<br><br>смотрите каменты ниже там пруфы<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (потому) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#58 Tue, 29 Mar 2011 10:42:00 GMT А на пальцах? А с пруфлинками?<br>Может вы тоже не в теме?<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (потому) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#57 Tue, 29 Mar 2011 10:39:34 GMT &gt;Каждый выбирает себе язык по способностям<br><br>Это просто приступ снобизма. и СМВ.<br>Или банальный троллинг.<br> Зафиксирован взлом СУБД, обслуживающей сайт MySQL.com (Sw00p aka Jerom) https://www.opennet.ru/openforum/vsluhforumID3/75865.html#56 Tue, 29 Mar 2011 09:42:06 GMT &gt;&gt;Только некоторые аморальные анонимы вместо prepareStatement так и наровят сканкотенировать строку и отправить в БД.<br><br>а почему бы и нет ? зачем городить всякую фигню если можно одним разом попроправит sql синтаксис (и ваще как я вижу его и нехотят править - и вот им (mysql.com) хороший урок - позор бля) сделать более жестким и безопасным <br><br>нахрена создавать функцию экранирования если экранирование можно реализовать в функции выборки - одним словом - ГАВНо ЭТОТ ОПЕНСОУРС (не радуйтесь - проприетарзина ни чем не лучше)<br>