sk informatico : sql injection

diego72 · 15/01/2007, 16:22

Originariamente Scritto da claudioricci

Non ho modo di riscrivere tutto in quella maniera, e manco lo so fare...
si dovranno accontentare del magic quote del menga...
Cl.

Ok.
Tienilo presente per la prossima volta

**C.R.** · 15/01/2007, 16:24

Originariamente Scritto da diego72

Ok.
Tienilo presente per la prossima volta

la prossima volta farò in modo di aver pronti templates già fatti su OGNI COSA
DEL VERDE PIANETA DI DIO...

Cl.

**kabodie** · 15/01/2007, 16:31

Originariamente Scritto da diego72

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

hai ragione, questa cosa non la conoscevo
quì ho trovato delle cose interessanti
http://forum.html.it/forum/showthrea...hreadid=624870

anche questo comunque è abbastanza "paranoico"

diego72 · 15/01/2007, 16:40

Originariamente Scritto da kabodie

anche questo comunque è abbastanza "paranoico"

Uhm.... non riesco ad aprire il link.
In ogni caso l'uso dei placeholder (o addirittura delle stored procedure) è ormai considerato un must delle applicazioni critiche.

In particolare le stored procedure sono di una comodità disarmante: tutto l'SQL sta sul DB, niente query nel codice, utilizzo di query più complesse (e quindi di un numero minore di query).

Tra l'altro non so come stia MySQL in quanto a supporto per le stored procedure....

**kabodie** · 15/01/2007, 16:46

Originariamente Scritto da diego72

Tra l'altro non so come stia MySQL in quanto a supporto per le stored procedure....

leggendo adesso mentre cercavo queste cose, ho letto che la 5 supporta le stored procedure, ma non supporta le query ricorsive, utilizzandole. altro non so