Zadejte hledaný výraz...
Sledujte nás
facebook youtube
user
user

technika whitelistu jako ochrana před SQL injection

Ji31
verified
rating uzivatele
30. 12. 2007 13:21:45
Ahoj,
sháním něco o použití techniky whitelistu jako ochranu před sql injection.
Jestli jsem to pochopil správně, tak to má být nějaký seznam povolených znaků, přes který se to prožene než to jde do db.
Bohužel se mi nedaří nic najít a to ani v angličtině. :banghead:
Mohlo byste mi někdo nabídnout nějaký odkaz, nebo alespoň ukázku kódu? Moc mi to totiž není jasný, díky
30. 12. 2007 13:21:45
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33705
---
verified
rating uzivatele
(6 hodnocení)
30. 12. 2007 14:23:42
mozno ti pomoze toto
http://sk.php.net/mysql_real_escape_string
30. 12. 2007 14:23:42
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33704
Ji31
verified
rating uzivatele
30. 12. 2007 14:26:12
Napsal matto;25201
mozno ti pomoze toto
http://sk.php.net/mysql_real_escape_string
Jj, to znám, používám, mně jde jen o ten whitelist..
30. 12. 2007 14:26:12
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33703
Jakub Stacho
verified
rating uzivatele
(20 hodnocení)
30. 12. 2007 14:39:36
Pokud máš v SQL dotazech všechny proměnné důsledně v uvozovkách, tak stačí escapovat jen ty uvozovky. Útočník pak vždycky zůstane „v uvozovkách“.
30. 12. 2007 14:39:36
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33702
toshi
verified
rating uzivatele
(4 hodnocení)
30. 12. 2007 14:44:29
a co radši začít používat prepare() a execute() v pdo, než znovu vynalézat kolo ?
30. 12. 2007 14:44:29
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33701
Ji31
verified
rating uzivatele
30. 12. 2007 14:52:25
:banghead:
používám, znám.
Jen prostě potřebuju najít něco o TÉTO technice, je to moc složitá věta?
Děkuju všem za rady, ale já se neptám na to, jak zabránit SQL injection, ale na whitelist :smoking:
30. 12. 2007 14:52:25
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33700
toshi
verified
rating uzivatele
(4 hodnocení)
30. 12. 2007 15:26:39
Napsal Ji31;25210
Děkuju všem za rady, ale já se neptám na to, jak zabránit SQL injection, ale na whitelist :smoking:
a whitelist != množina znaků bez delimiterů ?
30. 12. 2007 15:26:39
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33699
Ji31
verified
rating uzivatele
30. 12. 2007 17:03:39
Napsal toshi;25219
a whitelist != množina znaků bez delimiterů ?
No to právě netuším, pravděpodobně ano. Byl jsem odkázán na whitelist a že si to mám najít. Ovšem google toho moc neříká (asi se špatně ptám)...
30. 12. 2007 17:03:39
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33698
Fuck You
verified
rating uzivatele
(1 hodnocení)
31. 12. 2007 00:09:00
Nejdřív jsem myslel, že ti asi někdo špatně poradil. Po konzultaci s Googlem vidím (ptám se sql injection whitelist), že opravdu někteří lidé takový termín používají.
Pokud jsem správně vyrozuměl, mají whitelistingem na mysli to, že stanoví nějaká kritéria (výčet hodnot nebo regulární výraz), kterým vstup musí vyhovovat, aby byl validní. Naproti tomu při blacklistingu se stanovují kritéria, při jejichž vyhovění je vstup invalidní.
Příklad použití whitelistingu proti SQL injection:
$whitelist = array("=", ">", "<");
in_array($operator, $whitelist) or throw new Exception;
$query = $table->select()->where("`field` $operator ?", $hodnota);
Akorát by mě zaboha nenapadlo, že pro to někdo vymyslí takový cool název. :)
31. 12. 2007 00:09:00
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33697
Ji31
verified
rating uzivatele
31. 12. 2007 00:36:20
Napsal llook;25284
Nejdřív jsem myslel, že ti asi někdo špatně poradil. Po konzultaci s Googlem vidím (ptám se sql injection whitelist), že opravdu někteří lidé takový termín používají.
Pokud jsem správně vyrozuměl, mají whitelistingem na mysli to, že stanoví nějaká kritéria (výčet hodnot nebo regulární výraz), kterým vstup musí vyhovovat, aby byl validní. Naproti tomu při blacklistingu se stanovují kritéria, při jejichž vyhovění je vstup invalidní.
Příklad použití whitelistingu proti SQL injection:
$whitelist = array("=", ">", "<");
in_array($operator, $whitelist) or throw new Exception;
$query = $table->select()->where("`field` $operator ?", $hodnota);
Akorát by mě zaboha nenapadlo, že pro to někdo vymyslí takový cool název. :)
Ó, bože děkuji, bůh se nademnou slitoval. Už je mi to jasný, díkec :thumbup:
31. 12. 2007 00:36:20
https://webtrh.cz/diskuse/technika-whitelistu-jako-ochrana-pred-sql-injection#reply33696
Pro odpověď se přihlašte.
Přihlásit

user
Prodej Více

Předám nevyužitou firmu bez aktivity
1 Kč
0 příhozů
Prodám doménu Starflix.sk – DR 56, žádné spamové skóre!
1 299 Kč
0 příhozů
ITmix | Zavedený výdělečný affiliate projekt s kvalitním obsahem a mezinárodní expanzí
1 111 Kč
0 příhozů
Prémiová třípísmenná doména MZP.sk (historie od 2007)
1 699 Kč
0 příhozů
🔞 Ziskový e-shop s erotickými pomůckami
1 000 Kč
0 příhozů

user
Poptávky Více

🔧 Hľadám šikovného web developera na projekt zameraný na AliExpress!
Fresha rezervační systém
Hledám realitního tipaře pro naši realitní kancelář
Koupím starší Gmail účty
Poptávka: webové stránky, Ledeč nad Sázavou

user
Pracovní nabídky Více

Vývojář / Procesní inženýr s LabVIEW
Brno
60 000 - 90 000 Kč
𝗧𝗲𝘀𝘁 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿
Práce z domu, Praha
Java Developer
.NET Developer (ECS)
Brno
iOS Developer
Praha

user
Nabídky Více

Výprodej domén
⚡Webové stránky rychle, kvalitně a za skvělou cenu⚡ 3999,-Kč
Osobní přístup, žádná agentura – Marketingové služby, které nakopnou váš business
AI živý operátor pro vaše podnikání!
Úprava a správa XML feedů v aplikaci Mergado a Napojse, Shoptet, Marketplace, Amazon, Kaufland , Allegro a další.