SQL Injection-da się wykryć?

0
farhorizon napisał(a):

Ale nie zaśmiecajmy już tego tematu.

I tak ten temat jest w offtopie, więc spamować można trochę.

farhorizon napisał(a):

Ale wiadomo, że nauczyciele też się mylą.

Ale ten prowadzący się nie myli. On zwyczajnie nie wie co robi (lub nie umie tego wytłumaczyć o co mu chodzi).

EDIT:
W sumie pytanie, czy dobrze rozumiemy to co serio Twój prowadzący chciał osiągnąć i to co Ty masz na myśli^^. Bo pisanie metod dla selectów gdy np. piszemy API ma sens - nie ma sensu pobierać dodatkowych kolumn, gdy ich nie potrzebujemy. Ale jeśli robisz jakieś filtrowanie, to wtedy robisz jedną metodę + warunki. A nie osobna metoda dla każdej możliwej kombinacji.

0

Nie przesadzajmy. To prawda że należy jak najbardziej ograniczyć userowi możliwość zrobienia czegoś głupiego i jeśli się da to robić wszystko ładnymi prepared statements z parametrami. Ja chciałem tylko pokazać, że to niekoniecznie jest realnie do zrobienia, bo bezpieczeństwo swoją drogą a wymagania biznesowe swoją drogą.
To tyczy się też takich kwestii jak clean code, często wymagania biznesowe sprawiają że albo zrobimy jakiegoś dirty hacka, albo trzeba będzie przepisać pół systemu :)

1

SQL wzbogacony sql injection wygeneruje inny syntax tree niż ten bez, więc jest wykrywalny.

1 użytkowników online, w tym zalogowanych: 0, gości: 1