Terrasque Skrevet 9. februar 2009 Del Skrevet 9. februar 2009 Ser at Kpspersky har klart å tulle en smule, og i den anledning vil jeg sette litt lys på SQL injection. SQL injection er rett og slett at folk legger inn sql kode i et input felt, og som da vil bli kjørt av databasen. Grunnen til at dette skjer er at programmereren ikke har tatt riktige forholdsregler, noe som skjer alt for ofte i PHP kode. Den gyldne regelen er at ALT som sendes fra brukeren MÅ behandles før det brukes i en SQL string. Ved MySQL bruker man mysql_real_escape_string for det. Når det gjelder SQL injection i praksis, så ta og les denne artikkelen. Den viser lettfattelig steg for steg hvordan et angrep blir utført, og viser hvor farlig det kan være. I forbindelse med dette har jeg også sparket liv i min gamle security challenge, som man blant annet må bruke sql injection for å klare. Og jeg håper med dette at flere folk blir klar over problemet, og skriver litt mer fornuftig kode Lenke til kommentar
Alex Moran Skrevet 9. februar 2009 Del Skrevet 9. februar 2009 Vil heller foreslå at man ALLTID bruker prepared statements når deler av sqlen kommer fra brukerinput. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå