sk informatico : sql injection

[C.R.]

E perchè non segare il problema alla radice e usare query parametriche (o addirittura stored procedure, dove si può)?

Sarebbe carino che tu mi spiegassi cosa sono o dove potermi documentare...

C.

[diego72]

Sarebbe carino che tu mi spiegassi cosa sono o dove potermi documentare...

C.

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection

(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).

[C.R.]

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection

(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).

no, no, ho capito....è solo che non so quanto possa essere lunga la cosa
da implementare...

Cmq get_magic_quotes dovrebbe bastare...


Cl.

[diego72]

no, no, ho capito....è solo che non so quanto possa essere lunga la cosa
da implementare...

Cmq get_magic_quotes dovrebbe bastare...


Cl.

Comunque dai un occhio qui:
http://www.petefreitag.com/item/356.cfm

Quando so che un'applicazione dovrà essere sottoposta a security audit, non ammetto query non parametriche in giro per il codice (con grande gioia di chi se le deve riscrivere).

[kabodie]

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.

emmm.. temo che sia esattamente quello che stiamo facendo
anche perchè se è statica la query.. non può avere un sql injection

[diego72]

emmm.. temo che sia esattamente quello che stiamo facendo
anche perchè se è statica la query.. non può avere un sql injection

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

[C.R.]

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

Non ho modo di riscrivere tutto in quella maniera, e manco lo so fare...
si dovranno accontentare del magic quote del menga...
Cl.

[diego72]

Non ho modo di riscrivere tutto in quella maniera, e manco lo so fare...
si dovranno accontentare del magic quote del menga...
Cl.

Ok.
Tienilo presente per la prossima volta

[C.R.]

Ok.
Tienilo presente per la prossima volta

la prossima volta farò in modo di aver pronti templates già fatti su OGNI COSA
DEL VERDE PIANETA DI DIO...

Cl.

[kabodie]

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

hai ragione, questa cosa non la conoscevo
quì ho trovato delle cose interessanti
http://forum.html.it/forum/showthrea...hreadid=624870

anche questo comunque è abbastanza "paranoico"