18 août
Stefan Esser a un très bon article sur comment MySQL et SQL tronquer les colonnes qui peuvent conduire à des failles de sécurité. Il se sert un bon exemple d'une colonne qui a une largeur de 16 caractères, mais il affirme quelque chose avec 17 chars. De toute évidence, la durée d'exécution est un moyen de faire respecter que, même si elle se produit presque jamais. Mais une autre chose est venu à l'esprit. Harkening revenir à mes jours de pluie lecture Forrest Puppy documents, je me suis rendu compte que souvent le code une regex ou string matching. Par exemple: if ($ username eq "admin") (fail ();), mais si le nom d'utilisateur $ a été "admin" il ne parviendra pas clairement la chaîne de match car il ne s'agit pas d'une correspondance exacte, mais il aura le même effet net dans la base de données de passer le contrôle et qui vous permet d'accéder à l'admin de données. De même rembourrage en face du nom d'utilisateur aura le même effet dans certains cas - selon la manière dont la requête SQL est construite (si elle est encapsulée). Quoi qu'il en soit, bon article, allez le lire! Tags: sécurité, sécurité des nouvelles
