[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: programmazione web "sicura" Mittente: Damiano Trisciani Data: 5 May 2002 01:00:49 -0000
Una piccolo contributo alla discussione, il "safe_mode" o l' uso della direttiva "open_basedir" per restringere le operazioni sui file, sono ottime soluzioni, pero' se l' utente ha accesso anche ad un database (es: MySQL) c'e' un altro problema: ovvero una query che importa un file di testo tipo questa: ... "LOAD DATA $local INFILE '$filename' INTO TABLE $tbl FIELDS " . "TERMINATED BY 'xxxx' " . "ESCAPED BY '' " . "LINES TERMINATED BY 'xxxx'", ... ecco anche un approfondimento http://www.securiteam.com/exploits/5LP03156AC.html e' un problema non da poco, che ne dite ? -- Damiano Trisciani - damiano@tnx.it Webmaster & Sysadmin of: http://www.tnx.it - The Network Xperience - Web Design & Programming http://www.astrofili.org - Il portale per l' astronomia in Italia ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005