Функции Язык программирования PHP

	getmyuid (PHP 3, PHP 4) getmyuid - получает UID владельца РНР-скрипта. Описание int getmyuid (void) Возвращает user ID текущего скрипта или FALSE при ошибке. См. также getmygid(), getmypid(), get_current_user(), getmyinode() и getlastmod().
Назад Оглавление Вперёд getmypid Вверх getrusage

Инъекция SQL

Многие web-разработчики не в курсе того, как запросы SQL могут быть подделаны, и считают, что SQL-запрос это надёжная команда.
SQL-запросы могут обойти управление доступом, стандартную аутентификацию и проверку авторизации, а некоторые SQL-запросы могут даже дать доступ к командам ОС хоста.

Direct SQL Command Injection это такая техника, когда взломщик создаёт или изменяет текущие команды SQL для получения доступа к скрытым данным, их переопределения или даже для выполнения опасных команд системного уровня на хосте БД. Это выполняется с помощью приложения, принимающего пользовательский ввод, и сочетания его со static-параметрами для построения SQL-запроса. Следующие примеры (к сожалению...) основаны на реальных фактах.

Благодаря отсутствию проверки ввода и соединения с БД или поведению superuser'а или того, кто может создавать пользователей, взломщик может создать superuser'а в вашей БД.

Пример 4-6. Разделение результата выполнения запроса на страницы... и создание superuser'ов (PostgreSQL и MySQL) $offset = argv[0]; // видите, никакой проверки ввода! $query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;"; // с PostgreSQL $result = pg_exec($conn, $query); // с MySQL $result = mysql_query($query);