Что такое инъекция Xpath, и более ли склонны веб-сайты с базами данных mysql к этой инъекции?

Question

У меня есть веб-сайт в Интернете, и когда я сканировал веб-сайт с помощью программного обеспечения webcruiser (web vuln scanner), он нашел результаты для инъекции Xpath.Я хочу знать, были ли сайты с базами данных mysql подвержены такого рода атакам

Заранее спасибо за вашу помощь

Answer 1

Что такое XPath-инъекция ...

Эта статья содержит ответы на ваши вопросы:

http://www.ibm.com/developerworks/xml/library/x-xpathinjection/index.html

Я хочу знать, были ли сайты с базами данных mysql подвержены этот вид атаки

Риск внедрения XPath не имеет значения для используемой СУБД - он связан только с тем, создает ли веб-приложение необработанное (не скомпилированное) выражение XPath, части которого взяты у конечного пользователя вход.

Чтобы избежать внедрения XPath, необходимо заранее скомпилировать выражение XPath с любыми частями, которые соответствуют введенным пользователем значениям - указанным в качестве переменных / параметров.