Forum » Izdelava spletišč » Zaščita pred SQL injection - user?
Zaščita pred SQL injection - user?
luksorzi ::
Zadeva je sledeča.
Bi bila učinkovita zaščita pred sql injection, če bi userju v mysql dal samo možnost dodajanja v tabelo?
Bi bila učinkovita zaščita pred sql injection, če bi userju v mysql dal samo možnost dodajanja v tabelo?
MrStein ::
Bo pač lahko dodajal v tabelo, kar če.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Netrunner ::
uporabi prijeme kot so ... mysql_real_escape_string ipd ...na guglu je precej tega
Doing nothing is very hard to do... you never know when you're finished.
luksorzi ::
Sej delam u php.
Samo tko na pamet mi je padlo. Bom uporabil mysql_real_escape_string, za ziher bom pa še privilegije nastavu.
Samo tko na pamet mi je padlo. Bom uporabil mysql_real_escape_string, za ziher bom pa še privilegije nastavu.
HardFu ::
technolog, saj jezik nima veze, ce uros napise mysql_real_escape_string, potem se iz imena funkcije nekako vidi njena namembnost tudi ce bi delal v pythonu ali javi, ne?
http://codeable.io
technolog ::
Ne. Iz "real escape string" ne morš vedet nič. In java nima podobne funkcije, za python ne vem. Tam se stvari delajo drugače. S prepared statementi.
HardFu ::
Ne? Zanimivo, ce vpisem "mysql_real_escape_string" v google, je prvi zadetek opis funkcije. In za vse ne-php programerje je to najbrz dovolj informacij da se potem znajdejo naprej. V nasprotnem primeru so pa najbrz nesposobni.
http://codeable.io
technolog ::
In java nima podobne funkcije, za python ne vem. Tam se stvari delajo drugače. S prepared statementi.
HardFu ::
Ce v google vpisem "mysql_real_escape_string java" dobim tole stran in na njej dovolj informacij, da vem kako naprej.
Ne morem se strinjat da iz zveze "mysql escape string" ne mores nic vedet. Ce si programer z vsaj nekam izkusnjami potem ti to da neko izhodisce.
Ne morem se strinjat da iz zveze "mysql escape string" ne mores nic vedet. Ce si programer z vsaj nekam izkusnjami potem ti to da neko izhodisce.
http://codeable.io
technolog ::
No dobro, zakaj pa ravno mysql_real_escape_string? Več in kakovostnejše zadetke boš dobil če boš vpisal "sql injection" + ime jezika.
luksorzi ::
LOL kaka razprava :)
Samo zanimalo me je, če bi omejitev pravic bistveno pripomogla k varnosti spletne strani.
Samo zanimalo me je, če bi omejitev pravic bistveno pripomogla k varnosti spletne strani.
technolog ::
Ja, ti lahko omejiš samo na INSERTe, samo ti bo lahko vsakdo insertal kar bo hotel, ne nujno upoštevajoč "kalup", ki si ga določil, ko si programiral.
Seveda se pa zaščitiš pred tem da bi ti kdo karkoli brisal. Tako da omejitev pravic vsekakor pripomore k varnosti. Recimo dobro je, da onemogočiš DELETE in DROP, če ga ne potrebuješ.
Seveda se pa zaščitiš pred tem da bi ti kdo karkoli brisal. Tako da omejitev pravic vsekakor pripomore k varnosti. Recimo dobro je, da onemogočiš DELETE in DROP, če ga ne potrebuješ.
phyro ::
to tudi mene zanima... vedno sem imel v mislih da bi čekiranje vsakega fielda z regexom ki dovoli samo crke in stevilke moglo bit dovolj. Po drugi strani se pa s temi stvarmi nisem preveč ukvarjal in nisem prepričan :P (mogoče še kaka finta v stilu \xc4 ipd?)
D-monLord ::
Ni čudno, da je toliko slabo spisanih web strani na internetu.
Prvi odgovor, ki sem ga pričakoval je, da bo nekdo takoj povedal, da se sql querijev ne sestavlja kot string, ampak da moraš uporabljati parametriziran query, ampak do sedaj tega odgovora še ni bilo.
Če bi se lotil izdelave spletne strani v katerikoli drugi tehnologiji (Python, Ruby, Java, .Net...), samo v PHP-ju ne, sploh ne bi prišli do tega vprašanja.
Prvi odgovor, ki sem ga pričakoval je, da bo nekdo takoj povedal, da se sql querijev ne sestavlja kot string, ampak da moraš uporabljati parametriziran query, ampak do sedaj tega odgovora še ni bilo.
Če bi se lotil izdelave spletne strani v katerikoli drugi tehnologiji (Python, Ruby, Java, .Net...), samo v PHP-ju ne, sploh ne bi prišli do tega vprašanja.
technolog ::
Za preprared statemente sem jaz povedal v 8 commentu. Nauč se brat ali pa si nabavi špegle.
Sploh pa s sestavljanjem v string ni nič narobe, le vsak argument morš ustrezno escapat. Ta pristop ni prav nič slabši, zgodi pa se, da neizkušeni programerji na to "pozabijo", ali pa se kakemu začetniku kak parameter "izmuzne".
Sploh pa s sestavljanjem v string ni nič narobe, le vsak argument morš ustrezno escapat. Ta pristop ni prav nič slabši, zgodi pa se, da neizkušeni programerji na to "pozabijo", ali pa se kakemu začetniku kak parameter "izmuzne".
MrStein ::
Kar je isto, ker tam moraš parametre uporabit. 
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
techfreak :) ::
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | php login - simpleOddelek: Izdelava spletišč | 875 (748) | FrEaKmAn |
| » | Vdor v MySQL.com z vrivanjem SQLOddelek: Novice / Varnost | 8480 (6358) | techfreak :) |
| » | MySQL BETWEEN dates?Oddelek: Programiranje | 1385 (1299) | Housy |
| » | Spletna videotekaOddelek: Programiranje | 3877 (3067) | nuclear |
| » | [php] Knjiga gostovOddelek: Izdelava spletišč | 3155 (2358) | darix |