Вопрос по безопасности. SQL injection

Аватар пользователя pacufist pacufist 10 августа 2011 в 15:21

Вопарос знатокам по безопасности. Мой клиент обеспокоен волной хаков сайтов через SQL injection ( не в курсе на каких движках ).

Сам всегда использую Drupal API и db_query в частности. Поэтому, вроде как, все безопасно.

Но все же, кто с чем сталкивался? Может ASCII символи какие-то хитрые ?

Спасибо.

Комментарии

Аватар пользователя Crea Crea 10 августа 2011 в 16:19

В модулях на Drupal.org полно дыр, правда SQL инъекции - относительно редкий вид, благодаря db_query. Тот, кто не проводит инспекцию кода используемых модулей, делает большую ошибку.
Бойтесь модулей, написанных дилетантами - там больше всего дыр Smile

Аватар пользователя Виктор Степаньков ака RxB Виктор Степаньк... 10 августа 2011 в 16:22

"Crea" wrote:
Бойтесь модулей, написанных дилетантами - там больше всего дыр :)

За всех говорить не буду, но модули что выкладывают на д.ру - половина дилетантских

Аватар пользователя Crea Crea 10 августа 2011 в 16:26

Да я вот думаю, может предложить услугу инспекцию кода модулей на предмет дыр безопасности...Насколько это будет актуально, интересно..

Аватар пользователя Crea Crea 10 августа 2011 в 17:26

Модули бывают двух типов - в песочницах, и полноценные проекты. За песочницами вообще никто не следит. Но их невозможно скачать в виде архива напрямую.

При создании свежим участником Drupal.org первого проекта, код проекта проходит аудит безопасности. На этом обязательные проверки заканчиваются. Далее разработчик может:
1) добавить новый код в модуль, а значит новые уязвимости
2) создавать новые проекты, которые не проходят обязательный аудит

Команда безопасности Drupal осматривает код стабильных релизов модулей, но эта проверка не обязательная - кучи модулей месяцами и годами могут иметь неисправленные уявзивимости просто потому что в их код никто не заглянул. Не стоит целиком полагаться на команду безопасности.