Názory k článku Na podceňovanou hrozbu SQL injection doplácí i řada českých webů

V čempak že to je napsané to Z1.CZ (s ukázkovou SQL injection)? Aha, vona to byla Java :)

Ra100 tym chcel povedat, ze vyukove materialy nabadaju k pouzitiu prepared statementov. Pokial je vsak programator nedosledny a lenivy, tak to moze pisat v com chce a nikto mu nezabrani to napisat nespravnym sposobom.

Takze vlastne SQL Injection nema nic spolecneho s jazykem, ve kterem je stranka napsana :)

prosímvás, nepřebrat cokoliv přímo z parametrů je stejná zásada jako nepokládat holou ruku na rozpálený kamna. toto je zásada kterou jsem se velmi záhy naučil před dávnými lety při psaní cgi v shellu - to je aspoň prasárna ;-) - a platí pro všechno programování v čemkoliv a čehokoliv. pokud toto někdo nedodržuje, neumí programovat.

Proč vytvářet zbytečnou aféru? Trocha toho XSS nebo SQL Injection nikoho ještě nezabila..

Haha, tak toto muze napsat jen uplny jelito. Podivejte se nekdy na pravidelne opravovane security chyby v prohlizecich. Jsou tam i lahudky typu kradeni hesel z password manageru a podobne. A toto vsechno muze utocny skript pouzit.

"Pokud vládnete jazykem SQL, tak začínáte tušit, jak velká je tohle zrada (a malér)" a i v dalších příkladech (xp_cmdshell)

To první není SQL, ale T-SQL, a jedná se o příklady konkrétně pro MS SQL Server, takže je trochu zavádějící to za "SQL" označovat, protože SQL jsou především normy napříč db, a ne jen jedno řešení od MS, ne