Hlavní navigace

Názor k článku Na podceňovanou hrozbu SQL injection doplácí i řada českých webů od anonym - První odstavec je velice nepěkné paušalizování. Záleží na...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 6. 2008 10:03

    anonymní
    První odstavec je velice nepěkné paušalizování. Záleží na architektuře a na samotné aplikaci.

    S tím se dá souhlasit. Ne každá chyba v aplikaci je zneužitelná a od toho jsou penetrační testy, aby se ukázalo, jestli ty chyby zneužít jdou nebo nejdou.

    SQL injection je typ útoku, kterému se dá bránit buďto pečlivým vytvářením aplikace, nebo zvolit takovou architekturu, u které SQL injection nemá smysl.

    No, v principu mate pravdu, ale je třeba mít na paměti, že dnes už každá databáze má prostředky pro čtení souborů na disku, případně i pro spouštění kódu. SQL injection nemusí být jen o tom, že něco uložím nebo vyčtu z databáze.

    A není radno zapomínat, že injection útoky platí i na další používané technologie - ldap, xpath, ...