[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2004 ml@sikurezza.org Soggetto: Re: R: SQL injection Mittente: Emiliano 'AlberT' Gabrielli Data: 5 May 2004 00:35:06 -0000
On 22:07, lunedì 3 maggio 2004, Astharot wrote:
> > Se per "escape" intendi sostituire " ' " con " '' " non è una soluzione
> > sufficiente...
> > Pensa per esempio ad una query "SELECT nome_campo FROM nome_tabella WHERE
> > id=parametro_numerico;": in questo caso il parametro non conterrebbe
> > apici, ma si potrebbe cmq eseguire la SQL Injection (es. "0 UNION SELECT
> > ...").
>
> ????????In quel caso specifico puoi benissimo fare un casting della
> variabile.
IMHO la sicurezza in tali frangenti non si ottiene togliendo ciò che si sa di
non volere (molte cose potrebbero sfuggire), ma permettenso _solo_ cioò che è
strettamente necessario !!!
quindi, ok all'uso di fuzioni di escaping (sia del linguaggio che del driver
specifico del DB), ma la cosa migliore resta un controllo stretto e preciso
dei caratteri ammessi e della eventuale loro distribuzione attesa nella
stringa ...
casting (ma occhio!), rimozione degli spazi, nei casi + complessi una sana
regex non fa mai male :-) .... il tutto per bilanciare performance e
sicurezza
--
<?php echo ' Emiliano `AlberT` Gabrielli '."\n".
' E-Mail: AlberT_AT_SuperAlberT_it '."\n".
' Web: http://SuperAlberT.it '."\n".
' IRC: #php,#AES azzurra.com '."\n".'ICQ: 158591185'; ?>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005