R: SQL injection

No, non intendevo quello....
In pratica in vari linguaggi di programmazione esiste una funzione chiamata
escape() che prende una stringa in input e ritorna una stringa in cui i
caratteri con apici, doppi apici ecc vendono sostituiti con i rispettivi codici
di escape, esempio:

se hai windows salva un in file .vbs questa singola riga ed esegui, vedi cosa
restituisce:

msgbox Escape("Ciàò a  ' tutti ")

Dovrebbe essere sufficiente se l'input è una singola parola o numero...
Chiaramente il consiglio di farlo lato client era scorretto, meglio lato server
:)

Ciao

Domenico Briganti
AGS - Advanced Global Solution
C5 Consultant 

> -----Messaggio originale-----
> Da: Damiano Bolzoni [mailto:damiano.bolzoni@xxxxxx]
> Inviato: lunedì 3 maggio 2004 13.02
> A: ml@xxxxxxxxxxxxx
> Oggetto: R: SQL injection
> 
> >Una cosa facile facile per evitare il SQL injection è di fare un escape
> >lato cliente della stringa da concatenare alla SQL, sw che lo fanno in
> >automatico non ne conosco.
> 
> >Ciao
> 
> >Domenico Briganti
> 
> Se per "escape" intendi sostituire " ' " con " '' " non è una soluzione
> sufficiente...
> Pensa per esempio ad una query "SELECT nome_campo FROM nome_tabella WHERE
> id=parametro_numerico;": in questo caso il parametro non conterrebbe apici,
> ma si potrebbe cmq eseguire la SQL Injection (es. "0 UNION SELECT ...").
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List