10 августа 2011 в 15:21
Вопарос знатокам по безопасности. Мой клиент обеспокоен волной хаков сайтов через SQL injection ( не в курсе на каких движках ).
Сам всегда использую Drupal API и db_query в частности. Поэтому, вроде как, все безопасно.
Но все же, кто с чем сталкивался? Может ASCII символи какие-то хитрые ?
Спасибо.
Комментарии
В модулях на Drupal.org полно дыр, правда SQL инъекции - относительно редкий вид, благодаря db_query. Тот, кто не проводит инспекцию кода используемых модулей, делает большую ошибку.
Бойтесь модулей, написанных дилетантами - там больше всего дыр
За всех говорить не буду, но модули что выкладывают на д.ру - половина дилетантских
Да я вот думаю, может предложить услугу инспекцию кода модулей на предмет дыр безопасности...Насколько это будет актуально, интересно..
Таких заказчиков у меня на памяти было 4 человека, одного ты тоже знаешь
А разве при контрибуции модуля на д.о код не проходит кучу проверок ?
Модули бывают двух типов - в песочницах, и полноценные проекты. За песочницами вообще никто не следит. Но их невозможно скачать в виде архива напрямую.
При создании свежим участником Drupal.org первого проекта, код проекта проходит аудит безопасности. На этом обязательные проверки заканчиваются. Далее разработчик может:
1) добавить новый код в модуль, а значит новые уязвимости
2) создавать новые проекты, которые не проходят обязательный аудит
Команда безопасности Drupal осматривает код стабильных релизов модулей, но эта проверка не обязательная - кучи модулей месяцами и годами могут иметь неисправленные уявзивимости просто потому что в их код никто не заглянул. Не стоит целиком полагаться на команду безопасности.