7. Boolean-based механизмы

В чем заключается главная особенность "слепой" (Blind) SQL-инъекции?

Она работает только на мобильных устройствах База данных сама присылает уведомление об ошибке в Slack Сервер НЕ выводит данные и не показывает SQL-ошибку прямо в ответе; атакующий ориентируется по изменению поведения сайта (статус-коды, текст) Она работает только при выключенном JavaScript

Что такое "индикатор истинности" (Truth Indicator) в контексте Blind SQLi?

Зеленая галочка в углу сайта Любое видимое различие в ответе сервера (HTTP 200 vs 404, наличие слова "Найден" vs "Не найден"), которое говорит хакеру: "Да, условие сработало" Время ответа ровно в одну секунду Ошибка базы данных "Password Incorrect"

Как хакер может вытащить первую букву пароля администратора в слепую?

Просто подождав 5 минут Использовав UNION SELECT Использовав комбинацию функций ASCII(SUBSTRING(password, 1, 1)) = 65; если сервер вернул 'Истину', значит буква — 'A' (ASCII код 65) Написав письмо администратору

Зачем хакеры используют бинарный поиск (Binary Search) при проведении Blind SQLi атак?

Чтобы взломать двоичный код сервера Чтобы сократить количество запросов для каждого символа (с 256 до 8); это в десятки раз ускоряет извлечение всей базы Чтобы обойти антивирус на Windows Чтобы скрыть свой IP-адрес

Почему для сортировки `ORDER BY` в Go НЕЛЬЗЯ использовать обычные Prepared Statements (плейсхолдеры `?`)?

Go-драйверы не умеют сортировать списки Это приведет к ошибке Segmentation Fault Драйвер подставит имя колонки как строку в кавычках (ORDER BY 'price'); база проигнорирует такую сортировку. Плейсхолдеры работают только для данных в WHERE/VALUES Потому что ORDER BY — это не SQL-команда

Какой способ защиты динамической сортировки является САМЫМ НАДЕЖНЫМ в Go?

Регулярное выражение для поиска слова "DROP" Чёрный список всех запрещенных слов Белый список (Whitelisting) разрешенных полей через map[string]bool; если ввода нет в списке — подставляем поле по умолчанию (например, id) Шифрование параметров URL через Base64

Какой HTTP статус-код чаще всего используется хакером как индикатор ложного условия (False) в Blind SQLi?

200 OK 500 Internal Server Error 404 Not Found 101 Switching Protocols