На www.lviv.ua наконец то закрыли тупой sql injection на (скажем политически корректно - на определенных страницах, без конкретики)
.
Точнее специфично закрыли - скорее всего превратили в blind sql injection - ибо пишет "помилка доступу в БД", но параметры на соответствие типу данных все еще не проверяются, и проходят насквозь через бизнес логику страниц.
UPD. Таки да, классический blind sql injection.
См:
22 серпня у Львові відбулася презентація промоційного сайту www.lviv.ua. "Портал створений для того, аби місто збільшило свій потенціал туристів", - повідомила під час прес-конференції начальник відділу промоції ЛМР Ксеня Курилишин. Вартість проекту - 18600 грн.
www.lviv.ua - це новий сайт, який розрахований як для мешканців, так і для туристів міста. На порталі можна знайти корисну інформацію про соціальне і культурне життя міста, новини, перелік точок доступу до Інтернету за допомогою Wi-Fi. На сайті, над яким працювала молода команда, мешканці міста зможуть знайти інформацію як про дозвілля і відпочинок, так і про комунальні справи, медицину, соціальний захист. А туристи - повну довідкову інформацію міста: історія Львова, місця відпочинку і розваг, перелік готелів у місті, на околицях та хостелів, екскурсії по Львову і за його межами.
http://www.zaxid.net/newsua/2008/8/22/150517/
Комментариев нет:
Отправить комментарий