Не понял шутки? Это похоже на кусок дампа SQL или списка команд. Так можно произвести SQL-инъекцию, задав в нефильтруемое поля ввода, которое является частью для строки запроса SQL, нужную последовательность символов, то можно выдрать нужную информацию из базы.
Открыта удобная площадка с выгодными ценами, поставляющая весь ассортимент продукции, производимой компанией MEAN WELL – от завоевавших популярность и известных на рынке изделий до новинок. MEAN WELL.Market предоставляет гарантийную и сервисную поддержку, удобный подбор продукции, оперативную доставку по России.
На сайте интернет-магазина посетители смогут найти обзоры, интересные статьи о применении, максимальный объем технических сведений.
Продукция MOSO предназначена в основном для индустриальных приложений, использует инновационные решения на основе более 200 собственных патентов для силовой электроники и соответствует международным стандартам. LED-драйверы MOSO применяются в системах наружного освещения разных отраслей, включая промышленность, сельское хозяйство, транспорт и железную дорогу. В ряде серий реализована возможность дистанционного контроля и программирования работы по заданному сценарию. Разберем решения MOSO
подробнее>>
Ну я же говорю. Это SQL-инъекция. Оператор "--" в конце - это наверняка комменнтарий, он комментирует остаток другого запроса самого сервера. А первый обрывок завершает предыдущию команду. Сам запрос подменивается своим. Суть инъекции - удалить какую-то базу данных. При передачи такой строки серверу, если строка не фильтруется, произойдёт удаление базы.
А если они хотят подсунуть это фиксирующей видеокамере, то вряд ли что-то получится. Она наверняка собирает данные по какой нить маске. Just for fun.
А вот и получилось. Дело в том, что в России регистрационные знаки - фиксированные. В США и многих других странах они могут иметь любой формат, т.е. длина и набор символов не ограничены. И каждый может заказать себе произвольный номерной знак. Один программист, узнав название базы, сделал себе такой "знак" и умышленно превысив скорость перед камерами автоматической фиксации, таким изящным способом уничтожил базу нарушителей. Глупое ПО камеры зафиксировало текст, не задумываясь распознало и отправило запрос в базу данных. Естественно, такого подвоха никто не ожидал, и никакой фильтрации запросов не было предусмотрено. А база данных, будучи уверенной в авторитете камеры, выполнила ее запрос.
Карма: 47
Рейтинг сообщений: 92
Зарегистрирован: Пн мар 22, 2010 11:01:14 Сообщений: 7405 Откуда: СССР, г. Москва.
Рейтинг сообщения:0
WildCat писал(а):
А вот и получилось. Дело в том, что в России регистрационные знаки - фиксированные. В США и многих других странах они могут иметь любой формат, т.е. длина и набор символов не ограничены. И каждый может заказать себе произвольный номерной знак. Один программист, узнав название базы, сделал себе такой "знак" и умышленно превысив скорость перед камерами автоматической фиксации, таким изящным способом уничтожил базу нарушителей. Глупое ПО камеры зафиксировало текст, не задумываясь распознало и отправило запрос в базу данных. Естественно, такого подвоха никто не ожидал, и никакой фильтрации запросов не было предусмотрено. А база данных, будучи уверенной в авторитете камеры, выполнила ее запрос.
И что, вся база данных удалилась?
_________________ Я рожден при социализме, и я этим горжусь!
А почему бы просто не фоткать сам номер и хранить его в виде изображения? Там же ведь они всё равно могут быть произвольными.
Невозможность поиска, большой объем, необходимость все-же вырезания номера из большой фотографии. В общем, нет никакого смысла. А фотография, она так и так сохраняется дополнительно.
_________________ Не променяю медь на ржавую несгорайку!
Карма: 25
Рейтинг сообщений: 99
Зарегистрирован: Вс янв 24, 2010 19:19:52 Сообщений: 4471 Откуда: Главный Улей России (Moscow)
Рейтинг сообщения:0
Самое интересное, это то, что DROP DATABASE TABLICE; - это уже ошибка. Ну, если только сама БД так называется, то может и сработало бы. Проще было бы записать DROP DATABASE mysql; Тогда бы сервер БД упал. В базе mysql находятся данные о пользователях БД и их привилегии. Ну, там ещё куча всего (хосты и т.д.) Это касается MySQL. Если бы это был MsSQL, то там уже по другому.
Весь запрос выглядел бы примерно так:
Цитата:
INSERT INTO fuckers VALUES(name='Vasea',sur='Pupkin',num='ZU0066',0,0);DROP DATABASE TABLICE;-- 0,0);
В итоге, получилось два запроса подряд. Один вставляет запись о нарушителе в таблицу fuckers. То есть как положено. А второй сносит всю БД. Кто шарит в БД, тот поймёт.
_________________ I am DX168B and this is my favourite forum on internet!
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
Вход
Регистрация
Правила
FAQ
Поиск
Прочитала номер и убей свою таблицу 
