Hlavní navigace

Názor k článku Zranitelnosti typu injekce: SQL injekce od Petr M - Ale tam nejde o to, jak se ten...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 10. 2018 7:16

    Petr M (neregistrovaný)

    Ale tam nejde o to, jak se ten dotaz tvoří. Tam jde o to, že jako parametr nasype něco, co změní význam příkazu. Takže tohle si dělej jak chceš, ale musíš zajistit, že se dovnitř nedostane závadný parametr.

    Ono i kdybys prošel string s paramtrem ve smyčce a apostrofy nahradil třeba \047 a uvozovky \042 (dle ASCII), tak ti to nepozmění příkaz a maximálně vrátí, že nic nenašel. A pokud stejnou funkcí "filtruješ" data při ukládání, tak ty nebezpečný znaky můžeš normálně a neškodně používat v dotazech.

    Pokud na omezení takové zranitelnosti stačí jeden cyklus a jeden switch pro náhradu některých znaků, tak by za vykecání osobních údajů pomocí SQL Injection měly automaticky padat maximální flastry, co GDPR dovoluje.