Hlavní navigace

Názor k článku Zranitelnosti typu injekce: SQL injekce od Ondřej Novák - To není jen SQL injection. To je často...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 10. 2018 12:02

    Ondřej Novák

    To není jen SQL injection. To je často třeba command line injection jak nám ukázala nedávná chyba v GITu. Já proto preferuju základní pravidlo !nikdy nelep stringy ručně!. Je lepší si napsat query builder (pokud nemohu použít prepared statements) a ten napsat tak, aby správně prováděl escapování a jakéhokoliv vstupu.

    Vždycky mě drtí třeba dosazování argumentů třeba v bashi. Zkusit tam někdy poslat třeba uvozovku, to se člověk hned diví, co to dělá.

    Nebo takový HTML injection ... lidi jsou pořád nepoučitelní.