Hlavní navigace

Názor k článku Na podceňovanou hrozbu SQL injection doplácí i řada českých webů od Karel - Přiznám se, že tady jsem se trochu ztratil....

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 6. 2008 14:28

    Karel (neregistrovaný)
    Přiznám se, že tady jsem se trochu ztratil. Například Conn O'Shea v databázi registrovaný je.

    Možná jsem se nevyjádřil zcela přesně, ale při přihlašování do aplikace neprovádí servlet žádné:
    SELECT 1 FROM bbip_users_tab WHERE userid = :user_id_ AND password = :password_
    Provádí se:
    Connection con = DriverManager.getConnection( "jdbc:myDriver:wombat", pUserId, pPassword);

    Tady vám SQL injection s přihlášením nepomůže.

    Dále, jakmile se přihlásíte, máte jen taková práva, jaká vám byla přiřazena. Pokud nejste zrovna administrátor, máte jen práva read na někokolik málo view a vidíte pár procedur a funkcí. Zkrátka i když se přihlásíte přímo do databáze přes SQL klienta, nenapácháte žádné zásadní škody. Proto je mi celkem jedno, pokud vám webové rozhraní umožní vložit prakticky libovolný SQL příkaz. Naše aplikace mají zabezpečený datový model pomocí prostředků DB serveru. A s ohledem na to, kolik úsilí do těchto technologií investují přední dodavatelé produkčních DB serverů, nebudeme jediní.

    Chápu, že je důležité udržovat i webové rozhraní v nějakém rozumně bezpečném stavu, ale trvám si na tom, že to není jediná možnost a vlastně to není ani zrovna dvakrát spolehlivá možnost.