Új hozzászólás Aktív témák
-
ddekany
veterán
"E bejegyzésből kiderül, hogy a Sony Europe is plain text módon, vagyis titkosítás nélkül tárolta a személyes adatokat."
Feltételezem itt csak a jelszavakra gondolt az illető... többit nincs sok értelme titkosítva tárolni, már olyan értelemben titkosítva, hogy egy SQL lekérdezés ne adja őket vissza.
Amúgy, SQL injection... mert primitív eszközökkel dolgoznak primitív programozók. String összefűzéssel nem szabad SQL mondatokat kreálni. Kész. És mégis, csak példának, és ha jól tudom a legelterjedtebb PHP-s adatbázis kezelő könyvárak csak ezt a dilettáns string összefűző módszert támogatják. (OK, mysqli kivétel, arra emlékszek... de nem (volt?) elterjedt a szokványos olcsó webhelyeken.)
-
ddekany
veterán
Na, hát itt a baj. Nincs a helyes szemlélet meggyökeresedve... annyira, hogy sok környezetben még a könyvtárak sem támogatják. A dolognak valahogy így kéne kinéznie, vagy hát minimum így (pszeudo kód): rs = querty("SELECT name, price FROM products WHERE on_stock = ? AND price <= ? AND name LIKE ?", onStock, maxPrice, searchPattern); Sehol nem foglalkoztam itt vele, hogy mi SQL-ben a szintaxis. Majd a funkció megnézi milyen típusúak az értékek, aztán csinál vele amit kell. Kényelmesebb és biztonságosabb. Mindez nem keverendő a prepared statement-ekkel vagy a tárolt eljárásokkal. (És ez még egy primitív megoldás volt, mert volt benne SQL mint string, helyett hogy a fő programozási nyelven belül definiált DSL-el lenne az egész megoldva...)
-
ddekany
veterán
"Viszonylag sok olyan tuzfal van amiben meg lehet adni, hogy egyaltalan milyen formátumú dolgokat engedjen tovább"
+1 védelmi vonalnak talán elmegy, de gány megoldás, és adott esetben elgáncsolhat olyan kérelmeket amik teljesen helyénvalóak voltak... És semmi esetre sem ez kéne legyen a fő védelmi vonal.
-
ddekany
veterán
De az általam mutatott módszer string-ek esetén is véd, sőt az a lényege. Tehát ott LIKE után a ? helyére idézőjeles és rendesen escape-elt string kerül, csak soha sem látod. (Ill. az is lehet, hogy soha nem is lesz szöveges behelyettesítés, de ez már az adatbázis kliens API-ján múlik és technikai részlet.)
Új hozzászólás Aktív témák
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- DIGI Mobil
- Microsoft Office és Office 365 topic
- Filmvilág
- Politika
- Gyúrósok ide!
- Modern monitorokra köthető 3dfx Voodoo kártya a fészerből
- Házimozi belépő szinten
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Autós topik
- További aktív témák...
- ASUS ZENBOOK 13 UX333FA - 13,3"FHD IPS - i5-8265U - 8GB - 512GB SSD - Win11 - Magyar
- Playstation 5 Drive Edition 825GB (CFI-1216A), 2025.11.03-ig gyári garanciával, Bp-i üzletből eladó
- Lüm-tec m85 Svájci szerkezetű Amerikai microbrand
- Új! 64Gb DDR4 - Corsair 32GB KIT DDR4 4600MHz CL18 Vengeance RGB RT
- Samsung Galaxy A54 5G Eladó...