BotaniQ_Q
@BotaniQ_Q

Есть ли в других языках уязвимость вроде sql инъекции?

Никогда не разбирался в работе компиляторов, интерпретаторов, но допустим вот у нас есть питовский инпут и похожие инпуты в других языках, можно ли где то в них поставить аналог кавычки в sql, что бы далее написать свой код? За реверс не пишите :)
  • Вопрос задан
  • 702 просмотра
Решения вопроса 1
@nirvimel
Во всех языках, в которых существуют функция eval, возможна инъекция чего угодно через нее. И если в SQL еще можно как-то решить эту проблему при помощи правильного экранирования символов, то в Тьюринг-полных языках отличить зловредный код то безопасного теоретически возможно только одним способом: исполнив его в том же окружении и с теми же входными данными, что и в реальных условиях.
Поэтому большинством сoding conventions (кстати, как это будет по-русски?) использование eval запрещено полностью. Code review в большинстве крупных компаний и крупных open-source проектах завернет любой pull-request, в котором будет обнаружен eval, и после этого, скорее всего, даже не станет рассматривать последующие реквесты от того же автора.
Еще у многих антивирусов эвристический анализатор заточен на поиск eval в скриптах (включается после того как определен язык).
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Наличие или SQL Injection от языка не зависит, это уязвимость относится к разряду "ошибок в реализации" - когда разработчик забыл про правило "не верь любым данным поступающим извне, проверяй всё".

Почитайте эту статью https://habrahabr.ru/post/148151/ , придёт общее понимание механики.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы