Fi1osof 08 декабря 2013 2 2
MODX Revolution тесно завязана на ORM xPDO. xPDO в свою очередь завязано на PDO, что в априори делает любимую систему в глазах многих не подверженной к уязвимостям рода SQL-injection. Но как выяснилось, на самом деле это не так.
2 комментария
Fi1osof1
Fi1osof 08 декабря 2013г в 00:44 #
P.S. Добавлю немного от себя: данную статью надо воспринимать правильно. не весь xPDO дырявый. Речь как раз о методе xPDOQuery::toSQL(), который нельзя использовать для боевых целей, во всяком случае точно не делать это там, где есть входящие параметры извне. И как следствие — если модуль много где использует этот метод, значит он уязвимый.
Fi1osof1
Fi1osof 08 декабря 2013г в 19:19 #
По поводу использования этого метода в pdoTools и возможных уязвимостях в связи с этим, есть уточняющий коммент: blog.agel-nash.ru/2013/12/revo-sqlinjection.html#comment-471
То есть там это как раз используется в качестве отладки, так что угроза вряд ли есть.
Авторизуйтесь или зарегистрируйтесь (можно через соцсети ), чтобы оставлять комментарии.