RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Sunday, June 1. 2008

Bo SQL Injection to problem jest...

...i z tego powodu należy poświęcać temu tematowi należną uwagę: Giving SQL Injection the Respect it Deserves.

(...) The SDL is very specific about what do here, there are three requirements - they are requirements not recommendations, which means you must do the following coding requirements and defenses: * Use SQL Parameterized Queries * Use Stored Procedures * Use SQL Execute-only Permission (...)

To są na prawdę trzy proste kroki. W dodatku bardzo skuteczne.

Ślady
Brak Śladów
Komentarze
Jeśli dobrze rozumiem parametrized queries to po oraclowemu "bind variables", a po my- i postgresqlowemu "prepared statements"? Chyba że jeszcze co innego, bo w kwitach do MS SQL to pojęcie też wystepuje...
#1 kravietz (Strona) o 2008-06-03 23:06 (Odpowiedz)
Na pewno "bind variables" to jest dobry odpowiednik, "prepared statement" też, przynajmniej tak wynika z opisu działania. Nawet sqlite to oferuje, taki prosty przykład dałem tu: http://wampir.mroczna-zaloga.org/archives/232-Jak-skada-zapytania-SQL.html
#1.1 wampir o 2008-06-04 08:54 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

W temacie nieco innym: Forensic Practical Exercise #3
Monday, 18 January 2010
Potencjalne XSSy w ASP.NET
Saturday, 12 May 2012
SQLi w RoR
Thursday, 3 January 2013
Śledzenie zdarzeń w Windows - EventLog
Sunday, 8 February 2009
Identyfikatory globalne i pośrednie II
Thursday, 6 August 2009
Czas na zmiany?
Saturday, 26 September 2009
Bootcamp X: Document caching
Thursday, 18 June 2009
Wrrr! Wolę Urząd Skarbowy niż ZUS....
Thursday, 14 June 2007
Nie każdy eksperyment mi wychodzi
Wednesday, 14 July 2010
Kupno spodni to spore wyzwanie
Sunday, 9 February 2014