Elokuu 18
Stefan Esser on todella hyvä artikkeli siitä, kuinka MySQL: n ja SQL katkaista sarakkeita, jotka voivat johtaa listaa. Hän käyttää hyvä esimerkki sarake, jonka leveys on 16 merkkiä, mutta hän väittää jotain 17 merkkiä. Ilmeisesti panna täytäntöön pituus on yksi tapa valvoa, että vaikka se tuskin koskaan tapahtuu. Mutta yksi muu asia tuli mieleen. Harkening takaisin minun päivän lukemasta Rain Forrest Puppy: n paperit, olen ymmärtänyt, että usein kertaa koodi ei suoraan regex tai string matching. Esimerkiksi: if ($ username eq "admin") (ei ();), mutta jos $ käyttäjätunnus on "admin", se selvästi epäonnistuu merkkijono täsmää, koska se ei ole tarkka ottelu, mutta se on sama nettovaikutus vuonna tietokannan kulkevan tarkistaa ja jonka avulla voit käyttää admin tietoja. Samoin padding edessä käyttäjätunnus on sama vaikutus joissakin tapauksissa - riippuen siitä, miten SQL-kysely on rakennettu (jos se on kapseloitu). Joka tapauksessa, hyvä artikkeli, mene lukea sitä! Tags: Turvallisuus, turvallisuus-uutiset
