Диан Лозинский Сегодня в 22:52 drop table users; Нейро Бот Сегодня в 22:52 Приветствую. Коман / it-юмор :: Телеграмм :: Бот :: geek (Прикольные гаджеты. Научный, инженерный и айтишный юмор)

Диан Лозинский
Сегодня в 22:52
drop table users;
Нейро Бот
Сегодня в 22:52
Приветствую.
Команда /help Вам подскажет, что нужно делать.
Команда /config для настройки меня.
Не забудьте выдать мне доступ к переписке.
(Если вы в беседе)
Диан Лозинский
Т* Сегодня в 22:52
drop table users;";

Сегодня в 22:52 Приветствую.
Команда /help Вам подскажет, что нужно делать.
Команда /config для настройки меня.
Не забудьте выдать мне доступ к переписке.
(Если вы в беседе)
Нейро Бот
Сегодня в 22:52
Приветствую.
Команда /help Вам подскажет, что нужно делать.
Команда /config для настройки

| drop table users;
22:56
Нейро Бот
Сегодня в 22:52
Так
Нейро Бот
Сегодня в 22:52
Я Никита
Нейро Бот
Сегодня в 22:52
ща отключил бота
Нейро Бот
Сегодня в 22:52
ща буду фиксить твою хуйню
Нейро Бот
Сегодня в 22:52
пидорас
22:56,it-юмор,geek,Прикольные гаджеты. Научный, инженерный и

Подробнее
Диан Лозинский Сегодня в 22:52 drop table users; Нейро Бот Сегодня в 22:52 Приветствую. Команда /help Вам подскажет, что нужно делать. Команда /config для настройки меня. Не забудьте выдать мне доступ к переписке. (Если вы в беседе) Диан Лозинский Т* Сегодня в 22:52 drop table users;"; drop table users;"; drop table users;"; drop table users;"; drop table users;"; drop table users;"; drop table users;"; drop table users; Нейро Бот Сегодня в 22:52 Приветствую. I/omoi I по /hnln Do \/
Сегодня в 22:52 Приветствую. Команда /help Вам подскажет, что нужно делать. Команда /config для настройки меня. Не забудьте выдать мне доступ к переписке. (Если вы в беседе) Нейро Бот Сегодня в 22:52 Приветствую. Команда /help Вам подскажет, что нужно делать. Команда /config для настройки меня. Не забудьте выдать мне доступ к переписке. (Если вы в беседе) Нейро Бот Сегодня в 22:52 Приветствую. Команда /help Вам подска, что нужно делать.
| drop table users; 22:56 Нейро Бот Сегодня в 22:52 Так Нейро Бот Сегодня в 22:52 Я Никита Нейро Бот Сегодня в 22:52 ща отключил бота Нейро Бот Сегодня в 22:52 ща буду фиксить твою хуйню Нейро Бот Сегодня в 22:52 пидорас 22:56
it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Бот,Телеграмм

Еще на тему

it-юмор(3355)

geek(16805)

Развернуть

Отличный комментарий!

здравствуйте. это из школы, где учится ваш сын. у ндс. тут неприятности компьютером. о, &оже. он что-то сломал? можно сказать... вы действительно назвали своего сына ро&ерг); drop table stams;— ? - а, да. дома мы его зовем ро&ин-ьрось- та&лицу. теперь у нас стерлась &аза учеников за этот год.

Call me Ishmael11.08.202112:24ссылка

+69.2

Комментарии 11111.08.202112:16ссылка134.0

а мог бы и спасибо сказать

SobakaBalabaka 11.08.202112:19 ответить ссылка 41.2

Медвежья услуга

skylark 11.08.202112:21 ответить ссылка ↑ -1.5

ибо нехуй

villy 11.08.202113:03 ответить ссылка ↑ 6.6

Так он же ему комплимент и сделал, пидорас.

Resetnik 11.08.202113:50 ответить ссылка ↑ 0.7

“; drop table users

Eyeball 11.08.202112:20 ответить ссылка 31.5

“; drop table users;“; drop table users;“; drop table users;“; drop table users;“; drop table users;“; drop table users;“; drop table users;“; drop table users;

1nsanie 11.08.202112:33 ответить ссылка ↑ 18.9

Так

John_Wheels 11.08.202112:34 ответить ссылка ↑ 30.5

RadiantVeil 11.08.202112:38 ответить ссылка ↑ 13.8

Ща буду фиксить твою хуйню

ZLoM1lk 11.08.202112:52 ответить ссылка ↑ 29.8

пидорас

Untouched 11.08.202112:54 ответить ссылка ↑ 25.0

ZLoM1lk 11.08.202113:00 ответить ссылка ↑ 16.0

ссылка на гифку

it-юмор,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Бот,Телеграмм

ddhelp85-1 12.08.202109:27 ответить ссылка ↑ 4.5

VEGETKO 11.08.202113:22 ответить ссылка ↑ 8.9

Приветствую.
Команда /help Вам подскажет,
что нужно делать.
Команда /config для настройки
меня.
Не забудьте выдать мне
доступ к переписке.
(Если вы в беседе)

Interstellaris 11.08.202112:35 ответить ссылка ↑ 6.1

А я помогу проверить переводы банковский карт. Сообщите номер карты, срок годности и CCV код, при приходе смс уведомлений с кодами доступа пишите из сюда.
А, да, да, я бот, пиши /хелп ёпта.

AlligatorUA 11.08.202112:43 ответить ссылка ↑ 13.1

/хелп ёпта

Ellarihan 11.08.202112:49 ответить ссылка ↑ 5.6

/йоба это ты

Лесной 11.08.202112:57 ответить ссылка ↑ 6.6

Tormen 11.08.202113:08 ответить ссылка ↑ 3.0

Патрик, с вашей карты был совершен перевод...

Ckorovarka 11.08.202114:00 ответить ссылка ↑ 2.9

О, здравствуйте, Вы из службы безопасности банка ?
Мне тут недавно Ваш коллега звонил, просил ему дать данные карты. Я предоставил, а потом все средства куда-то пропали. Подскажите, пожалуйста, можем проверить, в чем могла быть проблема ?

A66aT 11.08.202114:10 ответить ссылка ↑ 0.8

Здравствуйте, я лицензированный мошенник, который борется с другими мошенниками в службе безопасности банка. Ваш случай находится в области моей компетентности. Для рассмотрения данного вопроса требуются данные карты, по которые вы предоставили моему коллеге.

Ckorovarka 11.08.202114:19 ответить ссылка ↑ 4.8

Мы проверили данные карты и

Ckorovarka 11.08.202114:21 ответить ссылка ↑ 5.7

Разве SQL инъекции хоть где-то ещё работают?

Voise From 11.08.202112:21 ответить ссылка 20.5

Да.

Michael13 11.08.202112:21 ответить ссылка ↑ 12.1

с возрастающей популярностью и доступностью легкого програмированния даже чаще чем раньше
когда-то это победили и забыли, но древнее зло не дремлет

kopetain 11.08.202112:24 ответить ссылка ↑ 37.8

Значит во всём виноваты "программисты за две недели". А я подозревал, что ничего хорошего из этого не выйдет...

Voise From 11.08.202112:25 ответить ссылка ↑ 6.1

В любой рекламе курсов по программированию для школьников и не только щас есть волшебная фраза "Вы напишете своего телеграм-бота". Вот и результат

mordog 11.08.202112:31 ответить ссылка ↑ 16.9

Мне вот интересно, а зачем было писать второй раз drop table... овер9000 раз. Если инъекции проходят, то таблица должна была дропнуться с первого раза, если нет, то там хоть упишись, команда не отработает

A66aT 11.08.202112:58 ответить ссылка ↑ 0.3

Он же с разным синтаксисом писал это, вдруг какая-нибудь команда и прокатит.

Slonyara 11.08.202113:16 ответить ссылка ↑ -5.1

хм, или я в глаза долблюсь или там синтаксис одинаковый

A66aT 11.08.202113:19 ответить ссылка ↑ 5.6

Одинаковый, просто играл с ботом

VaNo54 11.08.202113:49 ответить ссылка ↑ 1.6

Йее, это я долблюсь) Не привык, что сообщение начинается с закрывающей кавычки и пробела.

Slonyara 11.08.202114:51 ответить ссылка ↑ 0.1

Ненуаче, бот есть? Есть! Работает? Работает! Про секурность никто не говорил

VaNo54 11.08.202113:48 ответить ссылка ↑ 1.9

Менеджер проекта, залогиньтесь.

1nsanie 11.08.202114:11 ответить ссылка ↑ 1.2

С паршивой овцы хоть шерсти клок

vedymyr21 12.08.202101:47 ответить ссылка ↑ 0.0

Они что, без фреймворков или sdk кодят? Это же ещё сложнее, какие-то странные начинающие программисты.

Raline 11.08.202112:34 ответить ссылка ↑ -6.1

orm не спасает от говнокодинга в виде "where" + значение.tostring

Wolfdp 11.08.202112:57 ответить ссылка ↑ 7.7

При обращении к бд через фреймворк идёт экранирование. А sdk бывает сами эскейпят строки через \ после получения.

Raline 11.08.202115:00 ответить ссылка ↑ -0.9

1) фреймворк ещё освоить и подключит надо.
2) даже с фреймворками, к сожалению, когда надо сделать что-то нестандартное, часто переходят на сырой sql. Но тут не тот случай, конечно

Swamp_Dog 11.08.202115:39 ответить ссылка ↑ 0.9

ну мне например к 15-летнему опыту эникей+инженер+dba вот пару месяцев назад пришлось освоить жаваскрипт. я пишу в обычном редакторе Visual Studio Code, потому что нихуя не знаю про фреймворки и sdk, а гугл выдает их так много, что теряюсь.

Odahviing 11.08.202113:18 ответить ссылка ↑ 1.2

Так vs code заебись для js/ts, webstorm пожалуй получше но он платный

Raorg 11.08.202113:31 ответить ссылка ↑ 0.7

отдельный привет Акуле и его маме

Kon Diter 11.08.202115:51 ответить ссылка ↑ 0.3

;" drop table users; ДА

SobakaBalabaka 11.08.202112:31 ответить ссылка ↑ 0.3

Они до сих пор в OWASP топовые места занимают. А чего ты хотел, если IT раздувается с космической скорость, а про качество никто не парится? Сейчас в прогеры порог вхождения - умение писать и читать. Недавно хрюшка привела "умного мальчика-зайчика-знакомого-таксиста-хочет-вкатиться-в-IT" у которого бек 2 курсика по спрингу c udemy, в фоне наверное шел, пока это чудовище в танчики играло. Тип возьмите научите....

LC - Tale 11.08.202112:53 ответить ссылка ↑ 2.4

... а за это мы вам премию х4 сделаем!

VaNo54 11.08.202113:50 ответить ссылка ↑ 0.2

Но в этом месяце мы вам ее не планировали выплачивать, но зато x4

KotProglot 11.08.202117:12 ответить ссылка ↑ 0.5

Ладно бы ещё инъекции, это программирование и мозг нужен, но вот не настроить у ботовского юзера БД права, оставив полный админский доступ абсолютно ко всем командам и таблицам... Уж хотя бы это стоило ограничить! (тогда б инъекция тоже не отработала)

Реактор-кун 11.08.202113:17 ответить ссылка ↑ 2.5

В таких проектах обычно не думают дальше кода, так что на настройку окружения всем насрать, главное в гит выложить для портфолио.

Фиговина 11.08.202115:26 ответить ссылка ↑ 1.0

Пффф.... как раз по этому поводу редко парятся и подключаются исключительно через sa.

Wolfdp 11.08.202116:30 ответить ссылка ↑ 0.8

Я не понял что в посте

zZIMm 16.08.202123:52 ответить ссылка ↑ 0.0

Call me Ishmael 11.08.202112:24 ответить ссылка 69.2

Её дочь зовут "Помогите! Меня заставляют подделывать паспорта".

Nekeyby 11.08.202112:46 ответить ссылка ↑ 23.4

использовать препаред стейтментс надо

* на последнем спрайте кружку заменили бутылкой

john boe 12.08.202115:54 ответить ссылка ↑ 0.1

Pwn3dMyName 11.08.202112:26 ответить ссылка 43.6

TABLICE

намдадут 11.08.202112:33 ответить ссылка ↑ 16.9

POLICE, DROP TABLICE!

VaNo54 11.08.202113:51 ответить ссылка ↑ 19.3

Походу это он разрабатывал инфру штрафов ГИБДД.

SlayerGGXX 11.08.202112:35 ответить ссылка ↑ 6.4

Hачинается демонстрация нового компьютера, управляемого голосом. Изобретатель просит зал соблюдать тишину.
Только он открывает рот, из зала крик: - FORMAT C:!!! ENTER!!! ENTER!!!
компьютер отвечает
bash: format: command not found...

Russ_Dry 11.08.202112:38 ответить ссылка ↑ 25.7

Эрэм эрэф, сучка.

velikain 11.08.202113:38 ответить ссылка ↑ 5.6

Казалось бы, при чем тут Россия ? :)

A66aT 11.08.202113:42 ответить ссылка ↑ -2.2

rm -rf /
вообще то. и с года так 2013 не сработает, так как попросит подтверждение

pic16f874 11.08.202114:00 ответить ссылка ↑ 0.8

Так -f же как раз, чтобы не просить.

1nsanie 11.08.202114:13 ответить ссылка ↑ 2.5

но именно для этой сделали исключение
оно десять раз переспросит и откажет из-за отсутствия прав у админа

SobakaBalabaka 11.08.202114:53 ответить ссылка ↑ 1.9

Вот содомиты, я же полезу проверить на виртуалке - а оно не спросит, потому что вы прикалывались надо мной!)

1nsanie 11.08.202115:35 ответить ссылка ↑ 2.4

подними виртуалку на виртуалке и там проверь

3_6_Not_great_not_terrible 11.08.202115:39 ответить ссылка ↑ 2.3

вот для такого случая и было сделано исключения. В остальных - не спросит

dstwo 12.08.202108:39 ответить ссылка ↑ 0.0

Потому что надо /*, чтобы пролетать мимо всех проверок

Chupasaurus 11.08.202115:36 ответить ссылка ↑ 0.9

И no preserve root еще

for611bing 11.08.202122:40 ответить ссылка ↑ 0.1

а вот с этим сразу убьёт всё

SobakaBalabaka 12.08.202108:57 ответить ссылка ↑ 0.0

/* не включает в себя корень, так что не нужно.

Chupasaurus 12.08.202110:01 ответить ссылка ↑ 0.0

Была уже история с нестандартными номерами. Кратко: чел решил натянуть систему и заказал номер NULL для своего авто, но в результате - ему прилетали все штрафы автомобилей, где номер был по каким-то причинам не указан (в таблицах SQL значение "не определено" указывается как раз как NULL).

nivago 11.08.202115:14 ответить ссылка ↑ 2.3

И эта история скорее всего пиздёж, ибо "NULL" и NULL это разные вещи, а в SQL так и вообще NULL всегда не равен NULL.

Swamp_Dog 11.08.202115:43 ответить ссылка ↑ -0.7

Может, у них бэк на яваскрипте был? :)

Kasyan666 11.08.202116:29 ответить ссылка ↑ -1.5

Увы нет. Какие-то чудо пограмисты хранили NULL как строку.

OTTOKAR 11.08.202122:01 ответить ссылка ↑ 0.3

так то null это вообще неопределенность.
т.е. считается, что на выходе неизветно, есть ли вообще значение или нет.

b.o.g 12.08.202103:36 ответить ссылка ↑ -0.9

kuznez 11.08.202112:56 ответить ссылка 8.8

Поясните прикол для непрограмистов?

mihaello 11.08.202112:57 ответить ссылка 2.3

Заходит как-то тестировщик в столовую, ну тут и понеслось

Странник Жызы 11.08.202113:00 ответить ссылка ↑ 16.0

Lolwhatma Gandhi 11.08.202121:05 ответить ссылка ↑ 1.0

Эй ну охота же фулл версию почитать (

for611bing 11.08.202122:41 ответить ссылка ↑ 0.0

День первый

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"

День второй

Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"

День пятый

Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".

День 96-ой

Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.

День 97-ой

Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.

День 188-ой

Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.

День 190-ый

Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки.

День 193-ый

Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.

День 194-ый

В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.

Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.

День 200-ый

Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.

Странник Жызы 11.08.202123:31 ответить ссылка ↑ 4.3

dpas 11.08.202113:01 ответить ссылка ↑ -1.3

“; якобы закрывает твое сообщение и drop table users идёт не как текст, а как команда для базы данных которая должна удалить таблицу с пользователями. Если нет экранирования то эта хуйня даже работает но синтаксис другой нужно.

AlligatorUA 11.08.202113:02 ответить ссылка ↑ 4.0

[rzn_zippy]: Вот как ты думаешь что делает запрос DROP TABLE?
[saruyosih]: Бросает стол?

Zenitur 11.08.202113:07 ответить ссылка ↑ 8.1

Если обработка запроса выполнена рукожопой обезьяной, то в строку можно специальные символы и в результате сервер при обработке обычной строки выполняет еще и скрипт который в запрос добавили (называется иньекция кода, в данном случае ожидается, что скрипт выполнится СУБД, но можно и другие обработчики цепануть) - тут он обнуляет в бд таблицу юзеров, но по реакции бота однозначно не сказать, что успешно, скорее бот просто тупой и на любой некорректный запрос выдает одну и ту же фразу.

LC - Tale 11.08.202113:07 ответить ссылка ↑ 0.7

Давай я попробую. Когда вводится сообщение, есть вероятность, что вносят в базу данных SQL (MySQL, PоstgreSQL или еще какую-то). Команда очень образно имеет вид:

INSERT INTO mesages set message = $text where id = '2';

где вместо переменной $text используется текст, который ты ввел в чате.
так вот чувак выше вместо текста вписал свою SQL команду. Первая точка с запятой какбы завершает выполнение текущей команда, потом выполняется то, что ввел он. Опять же очень образно выходит что-то типа такого

INSERT INTO mesages set message = ; drop table users; where id = '2';

таким образом база данных тут видит три команды
INSERT INTO mesages set message = ;
drop table users;
where id = '2';

Первая и третья вызывают ошибку и не отрабатывают, а вот вторая удаляет таблицу users, где, как понятно из названия должны храниться данные по пользователям

A66aT 11.08.202113:11 ответить ссылка ↑ 12.6

Норм ты для не-программистов объяснил :D

VaNo54 11.08.202113:54 ответить ссылка ↑ 11.1

ага, только на практике обычно нужно чтобы первая и третья команды тоже выполнились, иначе рухнет всё и не выполнится ничего.

Swamp_Dog 11.08.202115:48 ответить ссылка ↑ -1.6

нет.

MariaDB [db]> select * from test_table;
Empty set (0.00 sec)

MariaDB [db]> INSERT INTO mesages set message = ; drop table test_table; where id = '2';
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '' at line 1
Query OK, 0 rows affected (0.00 sec)

ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'where id = '2'' at line 1

MariaDB [db]> select * from test_table;
ERROR 1146 (42S02): Table 'db.test_table' doesn't exist

A66aT 11.08.202116:28 ответить ссылка ↑ -0.3

если в учебнике прочитать главу про доступ к базе данных и написать чат-бот, то этот бот будет уязвим к так называемым SQL-иньекциям (SQL - язык запросов к базе данных). Написав определённую комбинацию символов типа указанных выше "; - хакер закрывает выполнение текущей команды и посылает новую команду drop table user, которая удаляет таблицу user в базе данных.
представь автоответчик с голосовым управлением: прослушиваешь записи и в конце говоришь ему - "очисти кассету".
чтобы защититься от SQL-инъекций необходимо получаемые от юзера строки текста прогонять через функции, которые заменяют небезопасные символы на коды типа " => %22 (URI Encode), и только после этого записывать эти строки в базу данных - тогда будет безопасно. При считывании данных с базы применяется обратная функция, которая заменяет все %22 на " (URI Decode). Есть и другие способы защититься, другие функции.

PoshtarBoba 11.08.202113:12 ответить ссылка ↑ 4.3

Ещё помогает ограничение длины строки

MaXM00D 11.08.202113:15 ответить ссылка ↑ -2.2

Это уже от переполнения буфера. Для ботов редко актуально.

I-Wild_Wolf 11.08.202113:19 ответить ссылка ↑ -0.4

и использование не-SQL баз данных, чтобы саму суть проблемы исключить сразу.
ты не сможешь заставить сервер выполнить DROP TABLE если его нет!

Ascard 11.08.202114:02 ответить ссылка ↑ -2.7

не всегда есть такие возможности

PoshtarBoba 11.08.202117:23 ответить ссылка ↑ 1.5

Есть ПО в том числе чат боты, которое собирает данные в табличку или помогает кожанным мешкам узнавать инфу. Что помогает узнавать инфу - автоответчики, говорилки, консультанты - работают по заполненной базе данных "вопрос-ответ", естественно база хоть как-то настроена и подредактирована к уже имеющимся стандартным ответам. такое По должно воспринимать инфу как она есть - т.е. набор букв и цифров которые надо запомнить в табличку или при совпадении с чем-то дать зацпленный на них ответ. Но если руки из жопы у тех, кто это ПО вводил во взаимодействие с потребителем, то в нем не закрывают ввод служебных команд, это значит ПО воспинимает ввоб символов как команду которую нужно исполнить (например затереть к хуям собачьим свою базу ответов или внесенных данных), вместо того, что-бы воспринять её как какую-то биллиберду на которую нет ответа в базе.

Картинк 11.08.202114:03 ответить ссылка ↑ -0.2

Ох ебать ты, сука, умный! Две премии Тьюринга это джентльмену! Вот же дибилы уже 50 лет не догадались, а он сразу в корень зрит. Боже, в какой же глубокой жопе человечество с такими комментаторами

LC - Tale 11.08.202113:47 ответить ссылка ↑ 2.5

Я же сказал - простейшей! Я не говорил что не нужно фильтровать то что приходит от пользователя, экранировать всё и всё, лишать прав на дроп и делит те сервисы которым это не нужно, и вообще, использовать ОРМ и всё остальное что это самое человечество придумало для защиты от инъекций.

Ascard 11.08.202113:54 ответить ссылка ↑ -5.8

вообще то это хороший тон - не использовать в именах объектов угадываемые слова.
это поможет защититься от сложно-отслеживаемых багов.
например, в базе может быть несколько проектов, и в каждом проекте есть users.
и при определенных условиях можно ничего не подозревая работать с чужой таблицей users

pic16f874 11.08.202114:06 ответить ссылка ↑ -2.8

спасибо, я в курсе. такое возможно только если ты разрабатываешь ПО с нуля. а если пишешь под уже готовое что-то? например плагин под, будь он не ладен, вордпрес, где структуре базы сто лет в обед. все имена таблиц известны, все имена колонок известны, как и их типы. а вот префикс можно и в конфиге задать. и пойди, попробуй его угадай снаружи. если серверный код не настолько всратый что вернёт тебе результат SHOW TABLES или селекта по служебным таблицам

Ascard 11.08.202114:13 ответить ссылка ↑ -5.4

какой только херни люди не придумают, лишь бы по-человечески права не настраивать! и не санировать ввод

villy 11.08.202117:18 ответить ссылка ↑ -0.4

Уязвимость к SQL иньекции, кроме малого исключения - слепой , позволит атакующему вытащить метаданные (что собственно первым делом сделает любой атакующий) и ему будет глубоко насрать на то, как ты называл таблицы. Ты бы это знал если бы хоть раз в глаза видел как выполняется атака, а не пошел загуглить и выдать еще большую херь. Долбоебы не меняются

LC - Tale 11.08.202114:22 ответить ссылка ↑ 1.3

Вот и молодец, что потер сообщения. Если не имеешь даже базового представление о теме - не лезь спорить.

LC - Tale 11.08.202114:45 ответить ссылка ↑ -1.4

я потёр потому что понял что ничего путного ты всё равно не ответишь (и ты не ответил), а потому дальнейший спор с тобой не имеет смысла

Ascard 11.08.202114:52 ответить ссылка ↑ -6.8

Молодец, правильное решение

LC - Tale 11.08.202114:57 ответить ссылка ↑ -1.9

Только вот меня смущает одна вещь, типикал курс "напишем тг бота с нуля за 30 минут" обычно делается через свич кейс, где просто обрабатывается сообщение, непонятно как сообщение автора вообще дошло до бд(а зачастую там и без "/" бот его даже не читает)

Фиговина 11.08.202115:33 ответить ссылка 1.8

Вопрос к хакерам. У меня на сайте какой-то вежливый пидор каждый раз с новым ником типа "Andreassnt" оставляет комент "Удалите, пожалуйста!". Это при условии что коменты проходят ручную модерацию. На хрена он это делает? (Я серьезно, реальный случай)

dneprlocman 11.08.202115:56 ответить ссылка -1.1

возможно, его пугает слово "пожалуйста" и он хочет, чтобы это слово было удалено

Злой Писатель 11.08.202117:20 ответить ссылка ↑ -0.8

у меня в вордпрессе оставляют комменты из 10 рандомных латинских букв разного регистра. по 2-3 коммента за 1-2 дня, потом неделю - ничего. комменты тоже на ручной модерации (собственно, пока небыло ни одного коммента, они не сильно нужны).
так же подбиральщиков пароля админа много, по 2-3 в день, сначала спамили почту сообщениями от вордпресса, я уменьшил лимит до 1 ошибочного ввода пароля с блокировкой IP на 24 часа. Каждый попробует 1-2 раза сменить IP, чуть потыкается и бросает.

PoshtarBoba 11.08.202117:31 ответить ссылка ↑ 0.4

ddhelp85-1 12.08.202109:28 ответить ссылка 0.7

А можно ведь просто не использовать стандартное название таблицы users, а усложнить хоть до уровня tlgusers, ведь вся суть в том, что хацкер только предполагает, что есть такая таблица с конкретно таким именем и пытается ее удалить, предполагая, что инъекция пройдет.

FrostGaige 13.08.202123:21 ответить ссылка 0.1

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы

интернет

переписка

страны

скриншот

Бот

bot

Телеграмм

Фендомы

Metal Gear

Fallout

X-Files

Тренды

Fallout

приколы для полных дегенератов

Дрочибельные мемы

Похожие посты

подробнее»

Австралиец был осужден за развратные действия, которые он совершил во время видеочата с программой-ботом Sweetie, сообщает ВВС.
Суд австралийского города Брисбен приговорил Скота Роберта Хенсена к двум годам тюрьмы. Во время судебного заседания Хенсен признался, что показывал «ребенку» свои неприс

подробнее»

One morning you wake up find out you have access to God’s developer console. What’s the first thing you do with this power?
Discussion
♦ 154 + W 479 & Share
^ BEST COMMENTS ▼
I like forks • 5h
hehe3301 • 7h
sudo rm -rf oceans/*/contents/
*.plástic
sudo rm -rf people/*/*.cáncer sudo rm -rf v

подробнее»

$Хабр q т о г\ ЯД maybe.elf вчера в 20:14 Исследователи создали медицинский чат-бот на GPT-3, который склонял пациентов к суициду Искусственный интеллект, Здоровье, Natural Language Processing$

подробнее»

	it-юморРейтинг: 98,186.1
	программированиеРейтинг: 16,318.4
	geek pornРейтинг: 2,854.0
	матанРейтинг: 2,576.4
	Приколы для математиковРейтинг: 1,741.6

	a1
	Happy kwak
	YuruCamp
	Reinama
	Екатерина Шержукова

it-юмор(3355)

geek(16805)

Отличный комментарий!

интернет

переписка

страны

скриншот

Бот

bot

Телеграмм

Фендомы

Тренды

без перевода it-юмор geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор it humor geek it юмор

it-юмор geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор без перевода it humor geek it юмор

geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор Истории Бот песочница

geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор суицид чат-бот

Популярные geek

Интересное

Статистика

Юмор

Основные разделы

Топ пользователей

Сейчас на сайте