Pytania otagowane jako sql-injection

7
Jesteś zatrudniony, aby naprawić mały błąd w witrynie wymagającej dużych zabezpieczeń. Patrząc na kod, jest wypełniony dziurami w zabezpieczeniach. Co robisz? [Zamknięte]
Zostałem zatrudniony przez kogoś do drobnych prac na stronie. To strona dla dużej firmy. Zawiera bardzo wrażliwe dane, więc bezpieczeństwo jest bardzo ważne. Po przeanalizowaniu kodu zauważyłem, że jest on wypełniony lukami w zabezpieczeniach - czytaj, wiele plików PHP rzuca dane wejściowe użytkownika bezpośrednio do żądań mysql i poleceń systemowych. …

14
Dlaczego mechanizm zapobiegania iniekcji SQL ewoluował w kierunku używania sparametryzowanych zapytań?
Z mojego punktu widzenia atakom wstrzykiwania SQL można zapobiec poprzez: Dokładne przeglądanie, filtrowanie, kodowanie danych wejściowych (przed wstawieniem do SQL) Korzystanie z przygotowanych instrukcji / sparametryzowanych zapytań Przypuszczam, że każdy ma swoje zalety i wady, ale dlaczego numer 2 wystartował i został uznany za mniej więcej faktyczny sposób zapobiegania atakom …

3
Czy poleganie na sparametryzowanych zapytaniach jest jedynym sposobem ochrony przed wstrzyknięciem SQL?
Wszystko, co widziałem w przypadku ataków typu SQL injection, wydaje się sugerować, że sparametryzowane zapytania, szczególnie w procedurach przechowywanych, są jedynym sposobem ochrony przed takimi atakami. Podczas pracy (w średniowieczu) procedury składowane były postrzegane jako kiepska praktyka, głównie dlatego, że były postrzegane jako mniej konserwowalne; mniej testowalne; wysoce sprzężony; i …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.