Hlavní navigace

Názor k článku Na podceňovanou hrozbu SQL injection doplácí i řada českých webů od David Grudl - Možná jsem váš první komentář nepochopil správně. Problém SQL...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 6. 2008 4:11

    David Grudl (neregistrovaný)
    Možná jsem váš první komentář nepochopil správně.

    Problém SQL injection chápu jako vadu při vytváření SQL příkazů. Řešením je tuto vadu ostranit, nikoliv ošetřovat její důsledky. Ve článku je třeba uveden příklad, kdy lze server "napadnout" hledáním výrazu: ' or 1=1. To je zcela regulérní výraz, který skutečně může někdo hledat. Aplikace jej proto musí korektně vložit do SQL, třeba tak, že před apostrof vloží lomítko nebo jej zdvojí - prostě jak si to konkrétní databáze žádá.

    Váš komentář mi naopak vyzněl tak, že není třeba řetězec korektně vložit do SQL, protože stejně nelze získat citlivá data.