Re: Подмена IP

Un Lexx unlexx на gmail.com
Сб Ноя 19 09:01:37 UTC 2011


selfix:
а куда заголовки потом затолкает и отфильтрует ли некорректные данные
решает скрипт на php
php может не фильтруя затолкать параметр в запрос в базу что и будет sql-inj


19 ноября 2011 г. 11:59 пользователь Un Lexx <unlexx at gmail.com> написал:

> не могу понять причем тут nginx,
> nginx все что пришло от клиента отдал php-fpm
> а куда заголовки потом затолкает и отфильтрует решает скрипт на php
> php может не фильтрую затолкать параметр в запрос в базу и будет sql-inj
>
>
> 19 ноября 2011 г. 11:49 пользователь www <nginx-forum at nginx.us> написал:
>
> nginx/0.8.53, php-fpm
>>
>> Столкнулся с интересной штукой -
>> какой-то кулцхакер передает в
>> HTTP_X_FORWARDED_FOR (или REMOTE_ADDR, но это
>> маловероятно) sql-инъекции (например, 1;
>> waitfor delay '0:0:4' --). Как у него это
>> получается? Это какой-то известный баг
>> в старой версии nginx? Или вообще не баг?
>>
>> Posted at Nginx Forum:
>> http://forum.nginx.org/read.php?21,218596,218596#msg-218596
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20111119/86230984/attachment.html>


Подробная информация о списке рассылки nginx-ru