Uglavnom, kao sto je i navedeno do sada bitno je filtrirati ulazne vrednosti tj odstraniti ono sto ne treba da se pojavi u upitu.
Vecina stvari se zavrsi cast-ovanjem varijabli i zabranom kljucnih reci (SELECT, INSERT, SLEEP, ...) i/ili karaktera (', %, ;,...).
Dosta je bitno sta se zapravo od logike aplikacije ocekuje a sta ne, nekad security moze da smanji upotrebljivost aplikacije pa se samim tim mora ici drugim putem ...
|