|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 18 Aug 2004 16:31:16
To : Alexey Gradovtsev
Subject : Re: Динамическое построение таблиц
--------------------------------------------------------------------------------
Alexey Gradovtsev -> Justin Finch-Fletchley @ Wed, 18 Aug 2004 11:19:23 +0000
(UTC):
AG>>> Все это само собой разумеется. И называется SQL-инъекция. И для этого
AG>>> существует $dbh->quote().
AG>>> А так я еще многого не написал в этом отрывке.
JFF>> В данном случае тебе один $dbh->quote() может и не помочь. Хотя
JFF>> полностью не знаю, чего он кодирует, чего нет, но ; - вряд ли.. Hу тут
JFF>> смотреть нада, как он работает, но кавычки тут совсем не обязательны...
JFF>> Уж если генерировать sql запрос, то нада смотреть - правильно ли он
JFF>> генерируется.
AG> А и не надо кодировать (вернее, ескейпить) ; - это нормальный
AG> символ для текстовой строки. Hадо исключить спецсимволы (', ",
AG> \). Это убережет от самой возможности SQL-инъекции. Т.е. левых
AG> данных, подставляемых кульхацкерами вместо того, что ты ожидаешь
AG> получить.
Он там _текст запроса_, а не _значения полей_ формирует динамически.
Тут никакая quote и никакие placeholders не спасают - тут только
анализировать, что именно подсунули.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по:
|
