Re: R: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: R: SQL injection
Mittente: Astharot
Data: 4 May 2004 00:04:49 -0000

Damiano Bolzoni wrote:

Se per "escape" intendi sostituire " ' " con " '' " non è una soluzione
sufficiente...
Pensa per esempio ad una query "SELECT nome_campo FROM nome_tabella WHERE
id=parametro_numerico;": in questo caso il parametro non conterrebbe apici,
ma si potrebbe cmq eseguire la SQL Injection (es. "0 UNION SELECT ...").

In quel caso specifico puoi benissimo fare un casting della variabile.

Salut,
Astharot
--
http://www.zone-h.{org,it}
Contacts: astharot @ zone-h.{org,it} - gerardo @ linux.it
GPGKey http://astharot.gife.org

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: R: SQL injection, Emiliano 'AlberT' Gabrielli
- Re: R: SQL injection, Fabio

Data:
- precedente: R: SQL injection, Domenico Briganti
- successivo: RE: R: DPSS: esempi e Assistenza, Max .
- indice

Argomento:
- precedente: R: SQL injection, Damiano Bolzoni
- successivo: Re: R: SQL injection, Fabio
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005