נשלח בתאריך: 03 December 2006 בשעה 02:09 | | IP רשוּם
|
|
|
|
תשמע, אני אישית חושב שכשנכנס כזה ערך שידוע שלא יהיה לו שימוש והוא רק מהווה אפשרות לבעיות עתידיות אני לא ממשיך בתהליך הלאה..
לדוגמא המשתמש הכניס שם משתמש עם אחוז (%) מבחינתי זה ערך לא תקין ובמקום להמשיך ולהמיר אותו הייתי עוצר את התהליך עוד לפני הגישה ל- SQL SERVER... אבל זה משתנה בין כל מערכת ומערכת... אם כן יש צורך בתווים מסוג כאלה או אפילו גרש יש לדאוג לדוגמא שכל גרש שמגיע מומר ל- '\ ככה שהוא לא יהווה בעייה..אני בטוח שיש עוד פתרונות יותר יצירתיים.. אבל זאת אחת הדרכים..
מחשבה יצירתית שעלתה לי כרגע זה שב- DB עצמו פשוט תמיר את התו גרש לסימן אחר שלא מפריע לשאילתה להתבצע ולא יווצר בעיות אבטחה עקב השימוש בתו הנ"ל ובעת היציאה מה- DB פשוט להחליף את הסימן לגרש בחזרה ברמת האפליקציה שלך..
זאת סתם מחשבה ... אני מציע שתחפש עוד מסמכים בנושא ותסתכל מעבר למה שנוטקוק וניר הציגו על עוד דרכים למניעת sql injection גם כשיש צורך בשימוש בגרש...
בהצלחה! :-)
טל.
|