Forumi IT profesionalaca
web development, web design, e-business, SEO
Forumi IT profesionalaca
web development, web design, e-business, SEO
|
|||||||
| SQL baze podataka - Sponzor: Baze-Podataka.net MySQL, MSSQL, Oracle, Access, ODBC. Ako imate problem brže i preciznije ćete dobiti odgovor ako priložite strukturu tabela ili skript koji kreira tabele i puni ih test podacima umesto što to problem opisujete samo rečima. Sponzor: Baze-Podataka.net - Blog o bazama podataka |
| Pogledajte rezultate glasanja: Koju tehniku koristite za sprečavanje "SQL Injections" | |||
| "Sanitization" ulaznih podataka |
  
|
17 | 60,71% |
| Parametarski upiti |
  
|
7 | 25,00% |
| Ništa |
  
|
4 | 14,29% |
| Glasači: 28. Ne možete glasati ovde | |||
 |
|
|
Alati teme | Način prikaza |
16. 09. 2009.
|
#1 |
|
dinosaurus
Master
Datum učlanjenja: 29.12.2005
Lokacija: Nova Engleska
Poruke: 636
Hvala: 79
263 "Hvala" u 66 poruka
 |
Glasanje: prevencija "SQL injection"
Недавно сам видео овај текст: http://bobby-tables.com/
Па ме интересује како радни народ спречава сигурносни пропуст познат по имену "SQL injection" илити у преводу убризгавање SQLa. Да ли радите "санитизацију" улаза, или користите параметаризоване упите или не радите ништа по том питању... |
|
|
|
16. 09. 2009.
|
#2 |
|
Boban Karišik
Expert
Datum učlanjenja: 05.11.2005
Lokacija: Beograd
Poruke: 556
Hvala: 36
186 "Hvala" u 21 poruka
|
pa..osim escape-ovanja ulaza, ja imam i black listu reci (mysql f-ja) koje se filtriraju, kao zastita i od blind SQL Injection.
U sustini zabranjujem INSERT, DELETE, SELECT, SLEEP ...
__________________
Ako već nisi Anđeo, bar budi čovek... |
|
|
|
|
16. 09. 2009.
|
#3 |
|
expert
Grand Master
Datum učlanjenja: 05.10.2005
Lokacija: Sofia, Bulgaria
Poruke: 805
Hvala: 222
958 "Hvala" u 68 poruka
 |
^ taj filtar bi trebao biti pametan kako ne bi filtrirao tekst:
"your select button is not working" ranije sam koristio mysql_real_escape_string sad PDO |
|
|
|
|
16. 09. 2009.
|
#4 |
|
Boban Karišik
Expert
Datum učlanjenja: 05.11.2005
Lokacija: Beograd
Poruke: 556
Hvala: 36
186 "Hvala" u 21 poruka
|
^ u pravu si, pogresno sam se izrazio malopre. Predjasnji post se odnosio na podatke gde sam korisnik ne bi trebao da ima kontakta sa samim sql upitom
__________________
Ako već nisi Anđeo, bar budi čovek... |
|
|
|
|
16. 09. 2009.
|
#5 |
|
Super Moderator
Invented the damn thing
Datum učlanjenja: 06.06.2005
Poruke: 2.371
Hvala: 370
701 "Hvala" u 194 poruka
|
Filter input - escape output. Sve dok se drzis te mantre sve je ok
 |
|
|
|
| "Hvala" dinke za poruku: |
|
16. 09. 2009.
|
#6 |
|
VD IT Direktora
Invented the damn thing
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
|
Kad se koristi Rails, logično je (iz primera na bobby-tables.com):
Kôd:
Person.find :all, :conditions => ['id = ? or name = ?', id, name] Kôd:
dataset.filter(:name => 'abc')
dataset.filter('name = ?', 'abc')
dataset.filter{|o| o.value > 100}
dataset.exclude{|o| o.value <= 100}
dataset.filter(:value => 50..100)
dataset.where{|o| (o.value >= 50) & (o.value <= 100)}
dataset.where('value IN ?', [50,75,100])
dataset.where(:value=>[50,75,100])
dataset.filter(:name => 'abc').first
dataset[:name => 'abc'] # same as above
# Filter using a subquery
dataset.filter{|o| o.price > dataset.select(o.avg(price) + 100)}
Poslednja izmena od jablan : 16. 09. 2009. u 20:39. Razlog: primer |
|
|
|
|
16. 09. 2009.
|
#7 |
|
Ivan Dilber
Sir Write-a-Lot
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
|
ako koristis odgovarajuce escape-ovani input ili prepared statements to bi trebalo da je to... za XSS treba jos escapeovati i output (na odgovarajuci nacin, zavisno da li ide u html ili u atribute ili eventualno url) i onda moozes relativno mirno da spavas...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
|
|
|
17. 09. 2009.
|
#8 |
|
dinosaurus
Master
Datum učlanjenja: 29.12.2005
Lokacija: Nova Engleska
Poruke: 636
Hvala: 79
263 "Hvala" u 66 poruka
|
За сада ми се допадају Робијев и Јабланов одговор. Него, баш ме занима шта мисле Дејан Топаловић, Дегојс и још пар људи који се не јављају.
|
|
|
|
|
17. 09. 2009.
|
#9 |
|
Milan Cvejic
Wrote a book
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
 |
Definitivno PDO i prepared statements... Prepared statements su dobro resenje i zbog performansi, pogotovu ako se isti upit pojavljuje par puta.
Elem, sto se tice PDO-a mora dobro da se pazi, jer je on samo jedna linija odbrane... Definitivno preporucujem stripovanje specijalnih karaktera iz svih user input-a, ili enkodovanje istih.
__________________
http://weevify.com |
|
|
|
|
17. 09. 2009.
|
#10 |
|
Ivan Dilber
Sir Write-a-Lot
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
|
ima i mysqli prepared statements, kad smo vec kod toga, ne mora pdo..
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
|
|
|
|
|
|||||
Slične teme
|
||||
| Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
| 301 redirkecija "dinamickog" URLa na "dinamicki" URL | mb_sa | Regular expression i htaccess | 7 | 02. 07. 2008. 20:21 |
| Karakteri "&" i "=" i XMLHttpRequest | Milos Vukotic | Regular expression i htaccess | 18 | 01. 10. 2007. 16:16 |
| If IT really is a "profession", what is our "pro bono" contribution as IT pros? | oksite | e-Business | 26 | 12. 01. 2007. 12:18 |
| "Telekom Slovenije" preuzeo "Blic.net" za 390.000 evra | Aleksandar Marković | Komunikacije | 2 | 23. 12. 2006. 15:23 |
Linearni prikaz
