Internet Info, s.r.o. Lupa Měšec Podnikatel Root Zdroják DigiZone Slunečnice Vitalia TopDrive KupDnes Navrcholu NovýTarif Dobrý web Weblogy Woko Jagg Computer.cz SK: MojeLinky

Hlavní navigace

Elektronická pošta obrázek k článku Moderní přístup k mailu s moderním klientem

Moderní přístup k mailu s moderním klientem

Grafika obrázek k článku GIMP 2.8 má nové rozhraní à la Photoshop

GIMP 2.8 má nové rozhraní à la Photoshop

PDA a mobily obrázek k článku Zrušte hlasový tarif a volejte levněji přes data

Zrušte hlasový tarif a volejte levněji přes data

Periferie obrázek k článku První praktické zkušenosti s Raspberry Pi

První praktické zkušenosti s Raspberry Pi

Root.cz  »  Bezpečnost  »  Injekce s dávkou jedu mohou být i smrtelné  »  Všechny názory

Názory k článku
Injekce s dávkou jedu mohou být i smrtelné

Lamorak
Lamorak (neregistrovaný) ---.109.broadband2.iol.cz
22. 3. 2011 0:23 Nový

Titulek

celé vlákno

Clanek je zajimavel, ale titulek zni jak prekvapive zjisteni MF Dnes.. :D

Odpovědět
Další nový názor     
lol
lol (neregistrovaný) ---.78-98-247.t-com.sk
22. 3. 2011 2:44 Nový

placeholders

celé vlákno

V dnesnej dobe spravit aplikaciu s takouto chybou je dost problematicke - kazdy kodi cez frameworky ktore sql dotazy riesia formou placeholderov a za uzivatela osetruju vstupy. V PHP to ide aj cez PHP:PDO, v PERLe cez modul DBI a predpokladam ze v ostatnych jazykoch tiez existuje nieco podobne.

Dnes weby skor trpia na xss - neosetrene printy z uzivatelovho vstupu (alebo z niecoho do coho uzivatel moze zapisovat - db)

Odpovědět
Další nový názor     
Tomas
Tomas (neregistrovaný) ---.netsafe.cz
22. 3. 2011 10:19 Nový

Re: placeholders

celé vlákno

"V dnesnej dobe spravit aplikaciu s takouto chybou je dost problematicke"
- kez by to tak bylo, nebo to tak slo zaridit;)

Zdaleka ne kazdy pouziva frameworky a zdaleka ne kazdy je pouziva spravne, takze je spousta webu, ktere na to trpi.

To ze nekdo pouzije DBI nebo PHP:PDO, to neznamena, ze to bude dobre. Potkal jsem mnoho webu kde je neco jako:
$dbh->prepare("SELECT abc FROM x WHERE id = $id")

a mnoho "programatoru" si ani neuvedomi, ze dela neco spatne, funguje to, tak o co jde...

Odpovědět
Další nový názor     
lol
lol (neregistrovaný) ---.78-98-247.t-com.sk
22. 3. 2011 20:13 Nový

Re: placeholders

celé vlákno

to potom nie su programatori... a kto si programatorsku pracu objedna u zahradnika, dobre mu tak :)

Odpovědět
Další nový názor     
x
x (neregistrovaný) ---.net.upcbroadband.cz
22. 3. 2011 20:37 Nový

Re: placeholders

celé vlákno

kdyby to nejakej manik nezverejnil ze tohle existuje a nedostalo se to do sirokeho povedomi. (siroke povedomi znamena ze cca 5 let pote po tom pise root) tak takhle kod pises dodnes taky

Odpovědět
Další nový názor     
lol
lol (neregistrovaný) ---.78-98-247.t-com.sk
23. 3. 2011 4:03 Nový

Re: placeholders

celé vlákno

to bola teda perla :) Osobne som zacal s perlom niekedy v roku 99, taktiez s mysql a DBI. Od zaciatku som pouzival prepare s placeholdermi pretoze uz vtedy bolisql injections davno zname. Toz staci len citat dokumentaciu a ani nezacnes kod pisat ako prasa.

Odpovědět
Další nový názor     
Zase plno zahradniku :)
Zase plno zahradniku :) (neregistrovaný) ---.141.broadband12.iol.cz
25. 3. 2011 13:20 Nový

Re: placeholders

celé vlákno

Zdravim vsechny kozly!! a slovenske superprogramatory :D co citaju dokumentaciu pred spanim.

Odpovědět
Další nový názor     
Tomas
Tomas (neregistrovaný) ---.netsafe.cz
23. 3. 2011 17:08 Nový

Re: placeholders

celé vlákno

No jo, jenže to, že to člověk objednal u zahradníka, to se pozná až za X let, až když mu ten web někdo hackne (a nebo mu to hackne, vesele tam řádí, a provozovatel o tom nemá ani tušení).

Obdobně jako když dáš auto do servisu, tak taky normální člověk nepozná, jestli to neopravil "zahradník" a není v tom nějakej skrytej problém.

Jsou prostě problémy, který na první pohled nepoznáš (což je typicky právě bezpečnost u programování apod.)

Odpovědět
Zasílat nově přidané příspěvky e-mailem        
Přidat názor