R: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: R: SQL injection
Mittente: Damiano Bolzoni
Data: 3 May 2004 12:52:48 -0000

>Una cosa facile facile per evitare il SQL injection è di fare un escape
>lato cliente della stringa da concatenare alla SQL, sw che lo fanno in
>automatico non ne conosco.

>Ciao

>Domenico Briganti

Se per "escape" intendi sostituire " ' " con " '' " non è una soluzione
sufficiente...
Pensa per esempio ad una query "SELECT nome_campo FROM nome_tabella WHERE
id=parametro_numerico;": in questo caso il parametro non conterrebbe apici,
ma si potrebbe cmq eseguire la SQL Injection (es. "0 UNION SELECT ...").


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- R: SQL injection, Domenico Briganti

Data:
- precedente: R: FTP TLSv1 - SSLv3 and Firewall, Pasqualetti, Fausto
- successivo: R: Internet banking security hole, Damiano Bolzoni
- indice

Argomento:
- precedente: R: SQL injection, Domenico Briganti
- successivo: RE: SQL injection, Antonio Parata
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005