Николай Ланец
7 дек. 2013 г., 20:44

xPDOQuery::toSQL() и SQL-injection в MODX Revolution

MODX Revolution тесно завязана на ORM xPDO. xPDO в свою очередь завязано на PDO, что в априори делает любимую систему в глазах многих не подверженной к уязвимостям рода SQL-injection. Но как выяснилось, на самом деле это не так.
P.S. Добавлю немного от себя: данную статью надо воспринимать правильно. не весь xPDO дырявый. Речь как раз о методе xPDOQuery::toSQL(), который нельзя использовать для боевых целей, во всяком случае точно не делать это там, где есть входящие параметры извне. И как следствие — если модуль много где использует этот метод, значит он уязвимый.
По поводу использования этого метода в pdoTools и возможных уязвимостях в связи с этим, есть уточняющий коммент: blog.agel-nash.ru/2013/12/revo-sqlinjection.html#comment-471 То есть там это как раз используется в качестве отладки, так что угроза вряд ли есть.

Добавить комментарий