Hlavní navigace

Názor k článku Na podceňovanou hrozbu SQL injection doplácí i řada českých webů od Miloš - To je řešení dostatečné pouze v případě, že...

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 6. 2008 23:35

    Miloš (neregistrovaný)
    To je řešení dostatečné pouze v případě, že žádný z uživatelů nemá právo žádného zápisu. Jakmile může cokoliv zapisovat, pak je kontrola dat nutností. Zvláště, jde-li o architekturu s tenkým klientem ve formě webového prohlížeče. Není přece problém vsunout do textového řetězce skript nebo odkaz kamkoliv. Pak se provede při čtení na straně uživatele a váš server tomu nezabrání.

    Osobně nevím, proč by měl mít uživatel právo posílat jakýkoliv SQL příkaz a dokonce proč by měl mít nějaké právo přístupu do databáze. Databázový server je služba aplikaci, nikoliv uživateli. SQL slouží ke komunikaci mezi aplikací a databází, nikoliv mezi uživatelem a databází. Uživatel nechť má přístup do aplikace a vše se pak musí dít pod její kontrolou.(Pochopitelně běží na serveru). Netvrdím, že je to jediný možný či vhodný model - ale mě se páčí nejvíce.