Главная страница


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ivan Beriozko                        2:6016/16.1    10 Feb 2003  00:28:22
 To : Pavel Vorotilin
 Subject : Re: SASL MySQL Patch
 -------------------------------------------------------------------------------- 
 
 09 Feb 03 15:19, you wrote to All:
 
 Вдогонку моему первому сообщению.
 
  PV> + char qbuf[300];
 
 [...]
 
  PV> + sprintf(qbuf,QUERY_STRING,db_uidcol,db_table,db_uidcol,userid,
  PV> db_pwcol,password,sqlappend);
 
 По рукам клавиатурой нужно бить за такой код. Как ты думаешь, что будет, если
 пользователь введет очень длинный пароль? Хоть бы snprintf сказал для приличия, 
 раз уж буфер для строки динамическим лень делать. Хотя необходимая длина буфера 
 элементарно вычисляется.
 
 Две изрядные дыры в твоем коде. Обе приводят к весьма неприятным последствиям.
 Первая - позволяет авторизоваться под любым пользователем, не зная его пароля.
 Вторая - позволяет выполнять переданный код на сервере, shell получить,
 например...
 
 Hу и куда такое годится?
 
 Ivan
 
 --- mailto: iberiozko@infodom.ru, icq: 38129119, phone: +7-902-627-21-06
  * Origin: No origin (2:6016/16.1)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 SASL MySQL Patch   Pavel Vorotilin   09 Feb 2003 16:19:35 
 Re: SASL MySQL Patch   Ivan Beriozko   09 Feb 2003 21:32:30 
 SASL MySQL Patch   Anton Panyushkin   10 Feb 2003 22:43:55 
 SASL MySQL Patch   Alexander Lunyov   11 Feb 2003 09:49:01 
 SASL MySQL Patch   Anton Panyushkin   11 Feb 2003 19:55:19 
 SASL MySQL Patch   Alexander Lunyov   12 Feb 2003 16:00:38 
 SASL MySQL Patch   Vladimir Kurtukov   13 Feb 2003 18:48:00 
 Re: SASL MySQL Patch   Konstantin Nikonenko   13 Feb 2003 14:30:10 
 SASL MySQL Patch   Alexander Lunyov   13 Feb 2003 17:51:47 
 SASL MySQL Patch   Vladimir Kurtukov   13 Feb 2003 23:46:48 
 SASL MySQL Patch   Alexander Lunyov   13 Feb 2003 23:46:53 
 SASL MySQL Patch   Vladimir Kurtukov   14 Feb 2003 15:14:11 
 SASL MySQL Patch   Alexander Lunyov   14 Feb 2003 15:56:42 
 Re: SASL MySQL Patch   Konstantin Nikonenko   14 Feb 2003 10:07:29 
 SASL MySQL Patch   Vladimir Kurtukov   14 Feb 2003 15:39:59 
 SASL MySQL Patch   Anton Panyushkin   13 Feb 2003 21:42:28 
 Re: SASL MySQL Patch   Ivan Beriozko   10 Feb 2003 00:28:22 
 Re: SASL MySQL Patch   Pavel Vorotilin   11 Feb 2003 00:29:26 
 Re: SASL MySQL Patch   Pavel Vorotilin   11 Feb 2003 00:35:44 
 SASL MySQL Patch   Vladimir Kurtukov   10 Feb 2003 13:58:18 
 SASL MySQL Patch   Alexander Lunyov   10 Feb 2003 10:48:05 
Архивное /ru.unix.bsd/27373e46e57f.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional