Функции Язык программирования PHP

	get_parent_class (PHP 4) get_parent_class - запрашивает имя родительского класса для объекта или класса. Описание string get_parent_class (mixed obj) Если obj это объект, возвращает имя родительского класса для класса, экземпляром которого является obj. Если obj это строка, возвращает имя родительского класса для класса с этим именем. Эта функциональность была введена в PHP 4.0.5. См. также get_class() и is_subclass_of().
Назад Оглавление Вперёд get_object_vars Вверх is_a

Инъекция SQL

Многие web-разработчики не в курсе того, как запросы SQL могут быть подделаны, и считают, что SQL-запрос это надёжная команда.
SQL-запросы могут обойти управление доступом, стандартную аутентификацию и проверку авторизации, а некоторые SQL-запросы могут даже дать доступ к командам ОС хоста.

Direct SQL Command Injection это такая техника, когда взломщик создаёт или изменяет текущие команды SQL для получения доступа к скрытым данным, их переопределения или даже для выполнения опасных команд системного уровня на хосте БД. Это выполняется с помощью приложения, принимающего пользовательский ввод, и сочетания его со static-параметрами для построения SQL-запроса. Следующие примеры (к сожалению...) основаны на реальных фактах.

Благодаря отсутствию проверки ввода и соединения с БД или поведению superuser'а или того, кто может создавать пользователей, взломщик может создать superuser'а в вашей БД.

Пример 4-6. Разделение результата выполнения запроса на страницы... и создание superuser'ов (PostgreSQL и MySQL) $offset = argv[0]; // видите, никакой проверки ввода! $query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;"; // с PostgreSQL $result = pg_exec($conn, $query); // с MySQL $result = mysql_query($query);