RE: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: RE: SQL injection
Mittente: Antonio Parata
Data: 5 May 2004 08:07:16 -0000

>Una cosa facile facile per evitare il SQL injection è di fare un escape
lato
>cliente della stringa da concatenare alla SQL, sw che lo fanno in automatico

>non ne conosco.

Premettendo che in applicazioni web based, la sicurezza lato client non
esiste (escludendo SSL e altre poche tecniche) o comunque è molto difficile
da garantire.

Effettuando un escape lato client, la manipolazione dell'input inviato al
server e' estremamente facile da manipolare, sfiorando il ridicolo in caso
di invio tramite variabili GET.



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- R: SQL injection, Domenico Briganti

Data:
- precedente: R: SQL injection, Damiano Bolzoni
- successivo: Re: R: Internet banking security hole, Mario Saturno
- indice

Argomento:
- precedente: R: SQL injection, Damiano Bolzoni
- successivo: Exchange,TrendMicro Viruswall, Checkpoint, Piero Wednstay
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005