http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/ Par datubāzēm (t.sk. Oracle, MySQL, SQL Server u.c.) un visu, kas ar tām saistīts Fri, 03 May 2013 07:19:52 +0000 hourly 1 http://wordpress.com/ http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-785 Wed, 16 Feb 2011 17:03:05 +0000 http://datubazes.wordpress.com/?p=418#comment-785 Pamācošs rakstiņš ar real world scenario
http://tkyte.blogspot.com/2011/02/interesting-read.html

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-524 Thu, 28 May 2009 00:04:41 +0000 http://datubazes.wordpress.com/?p=418#comment-524 [...] Datubāzu resurss latviski [tiešsaiste] [atsauce 14.05.2009.] Pieejams: http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/ [...]

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-522 Tue, 12 May 2009 08:29:51 +0000 http://datubazes.wordpress.com/?p=418#comment-522 Boot.lv forumā ir laba diskusija par php/mysql drošību

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-339 Fri, 31 Oct 2008 07:01:13 +0000 http://datubazes.wordpress.com/?p=418#comment-339 Paldies. Prieks Gint par šo latvisko resursu.

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-338 Thu, 30 Oct 2008 08:11:08 +0000 http://datubazes.wordpress.com/?p=418#comment-338 Paldies, Gint, par šo rakstu!

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-337 Wed, 29 Oct 2008 10:56:24 +0000 http://datubazes.wordpress.com/?p=418#comment-337 Hmm, droši vien, ka var arī īsāku un prastāku Tikai tāpēc jau virsrakstā ir ietverts vārds PL/SQL, ka bija doma izmantot mazdruscīt PL/SQLu. Un ar vēl isākiem piemēriem būtu grūtāk uzkonstruēt piemēru, kad persona reāli padod it kā parametru, jo būtu nepieciešams vēl kāda klienta vide php, .NET vai kaut kas tāds. A tagad ir funkcija, kam ir pilnīgi vienalga no kurienes to izsauc un kas paņem rezultātu, vai tas ir SQL*Plus vai php, vai .NET. Isāki un prastāki piemēri ir arī norādītajos resursos, tāpēc jau es parasti cenšos galā karināt norādes uz citiem rakstiem, lai cilvēki izlasītu manējo un varētu pasmelties arī idejas un domas no citiem.
A kas attiecas par cilvēkiem, kas būs aizdomājušies par to ka vajag procu un nevajag lipināt kopā, tad Tev diemžēl nav taisnība, jo tieši nepilnu pusstundu atpakaļ vienā uzturamā procā atklāju, ka parametri pa taisno konkatenēti klāt. Ne par velti jau vairākus gadus Oracle vidē (un BTW ne tikai Oracle, to saka arī SQL Serverim), ka jāizmanto bind mainīgie!! Tas pasargās gan no injekcijām, gan shared pool (SQL Serverī, laikam bija kaut kāds cursor cache vai kaut kā līdzīgi) pārpludināšanas. MySQLā cik zinu, tad tāds jēdziens kā shared sql neeksistē, bet, protams, injekciju briesmas paliek arī tur.

]]> http://datubazes.wordpress.com/2008/10/29/sql-un-plsql-injekcijas/#comment-336 Wed, 29 Oct 2008 10:40:18 +0000 http://datubazes.wordpress.com/?p=418#comment-336 Viss jau ir kārtībā, bet gribēju nedaudz piesieties pie tā, ka cilvēks, kas nezina par SQL injekcijām visdrīzāk ir iesācējs un viņu šādi (vismaz vizuāli) gari SQL piemēri apjucinātu un atbaidītu. Var taču izmantot īsākus un prastākus piemērus, shirley?
Un vēl, varbūt es kļūdos, bet , ja cilvēks ir aizdomājies līdz tam, ka un kāpēc jālieto procedūras pretstatā SQL teikumu lipināšanai no fragmentiem, tad visdrīzāk jau nu viņam būs skaidrs, ka SQL teikuma lipināšana procedūras ietvarā no procedūras parametriem ne ar ko nav labāka par tāda paša teikuma salipināšanu no _GET vai _POST vai edUsername.Text.

]]>