НЕ СМЕШИВАЙТЕ ДВА РАЗЛИЧНЫХ УСЛОВИЯ

Программа Wireshark (ранее известная как Ethereal) доступна на сайте http://www.wiresh.ark. org/.

Почти всегда я сталкиваюсь с условиями аутентификационных запросов для столбцов account_id и password в операторе WHERE. Если для вашей фирмы требуется раскрутить сайт то узнать где купить можно вечные ссылки можно тут.

Файл примера: Passwords/anti/auth-lumping.sql

SELECT * FROM Accounts

WHERE account_name = ‘bill’ AND password = ‘ opensesame’ ;

Этот запрос возвращает пустой набор результатов, если учетная запись не существует или пользователь ввел неверный пароль. Ваше приложение не может отделить друг от друга две причины неудавшейся аутентификации. Лучше использовать запрос, который сможет обрабатывать два этих случая отдельно. Затем вы сможете исправить произошедшую ошибку.

Например, представим, что вы хотите временно блокировать учетную запись, после того как обнаружили множество неудавшихся попыток входа, поскольку это указывает на вероятную попытку вторжения. Однако вы не можете найти нужный шаблон, поскольку не находите отличий между неверным именем учетной записи и неверным паролем.

Отправка паролей по электронной почте

Поскольку пароль сохранен незашифрованным текстом в базе данных, отыскать его в вашем приложении просто:

Файл примера: Passwords/anti/select-plaintext.sql

SELECT account_name, email, password

FROM Accounts

WHERE account_id = 123;

Тогда ваше приложение может выслать электронное письмо по запросу пользователя. Вы, вероятно, видели подобные письма, являющиеся частью функции напоминания пароля любого веб-сайта, которым вы пользовались.

01.01.2012

Добавить страницу в мои закладки:

Смотрите также:
Оставить отзыв

Подтвердите, что Вы не бот — выберите самый большой кружок:

Какую позицию должна занять Россия в отношении ДНР и ЛНР?

Loading ... Loading ...

Архив опросов

Отзывов на сайте: 12161
Вчера: 5. Сегодня: 0