sql injection

20-01-2005, 17.17.43

raga..... conoscerlo per prevernirne l'attacco ....

chi mi passa qualche link su cosa è? su come attaccano? su come proteggersi?

e poi...cosa tutto riescono a fare tramite questo tipo di attacco?

ci sono altri attacchi da cui difendersi?

20-01-2005, 18.09.18

Mi documentai tempo fa ma non trovai quasi nulla.....e quel poco che cera non funzionava!!!!
Se tu avrai + fortuna di me fammi un fischio....

**binarysun** · 20-01-2005, 20.07.19

http://www.etechs.it/articoli/sql-injection.php
Con questo attacco possono mandare query al tuo DB, quindi possono sapere tutto quello che c'è scritto(password se la salvi nel DB), oppure possono cancellartelo

Evitare attacchi?
Gli unici attacchi da cui ti puoi difendere sono quelli sugli script, quindi ogni volta che un utente può passare dati ad uno script (get,post,url), tu devi controllare i dati.
Usa il più possibile valori numerici, in modo da poterli controllare con "isNumeric".
Se i dati inseriti dall'utente vengono pubblicati controlla che non possa inserire codice javascript.
E altri accorgimenti.

21-01-2005, 09.50.11

Originalmente inviato da binarysun

http://www.etechs.it/articoli/sql-injection.php
Con questo attacco possono mandare query al tuo DB, quindi possono sapere tutto quello che c'è scritto(password se la salvi nel DB), oppure possono cancellartelo

Evitare attacchi?
Gli unici attacchi da cui ti puoi difendere sono quelli sugli script, quindi ogni volta che un utente può passare dati ad uno script (get,post,url), tu devi controllare i dati.
Usa il più possibile valori numerici, in modo da poterli controllare con "isNumeric".
Se i dati inseriti dall'utente vengono pubblicati controlla che non possa inserire codice javascript.
E altri accorgimenti.

grazie per la risposta...

volevo documentarmi tramite il link che mi hai fornito ma "Impossibile visualizzare la pagina" .... :(

21-01-2005, 14.31.33

No funziona!!Io l'ho anche stampato....

**Guido8975** · 21-01-2005, 15.41.32

Originalmente inviato da webhelper

No funziona!!Io l'ho anche stampato....

Cosa funziona?

21-01-2005, 18.21.04

il sito!Ma ho provato a fare ciò che dicono, senza avere risultati :( mah!!!

21-01-2005, 19.35.14

l'importante è filtrare nelle $_GET e $_POST
tutti quei caratteri che potrebbero essere interpretati come comandi dal php engine
cioè apici, doppi apici, parentesi angolari, parole come SELECT, UNION, DELETE, slashes
& commerciali,
facendoli o precedere da backslashes (per i simboli) o cambiandoli con la notazione
&# 000; (ottenibile con la funzione htmlspecialchars())

**binarysun** · 21-01-2005, 20.55.19

Prossimamente avrete un articolo in italiano sulla sicurezza in php
...datemi tempo...

22-01-2005, 05.23.51

Originalmente inviato da binarysun

Prossimamente avrete un articolo in italiano sulla sicurezza in php
...datemi tempo...

aspettiamo ....

sì, il link va... avete ragione ...

OLD

22-01-2005, 05.58.01

Provate a tenervi aggiornati con questo

Discussione: sql injection

LinkBack

Strumenti discussione

Display

sql injection

Regole di scrittura