R: SQL injection

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: R: SQL injection
Mittente: Damiano Bolzoni
Data: 5 May 2004 08:07:14 -0000

>In pratica in vari linguaggi di programmazione esiste una funzione chiamata
>escape() che prende una stringa in input e ritorna una stringa in cui i
>caratteri con apici, doppi apici ecc vendono sostituiti con i rispettivi
>codici di escape, esempio:

E come ti dicevo prima questa operazione non è sufficiente, poiché se si
esegue l'Injection su un parametro numerico gli apici non sono richiesti,
quindi inserendo una cosa del tipo "AND WHERE nome_campo=valore_numerico" la
query sarebbe sintatticamente corretta e verrebbe eseguita. Nel caso si
sostituissero dei caratteri rischieresti, in questo caso, di far generare un
errore nel DBMS.

Ciao


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- R: SQL injection, Domenico Briganti

Data:
- precedente: R: Microsoft Windows 2003 & IIS6, Carnio Simone
- successivo: RE: SQL injection, Antonio Parata
- indice

Argomento:
- precedente: R: SQL injection, Domenico Briganti
- successivo: Re: R: SQL injection, Astharot
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005