Ciao ragazzi, mi sapreste dire se il prepared statement è così sicuro dal attacco sql injection, o se può essere baypassato
facilmente. Grazie
facilmente. Grazie
- Autore discussione JokerHack22
- Data d'inizio
- Stato
Ultima modifica:
Rispetto all'esecuzione diretta direi proprio di sì.
L'idea che sta alla base di queste istruzioni è semplice: la query e i dati vengono inviati al server separatamente. Questo non basta per prevenire del tutto le iniezioni SQL ma è comunque buona prassi utilizzarle sempre.
L'idea che sta alla base di queste istruzioni è semplice: la query e i dati vengono inviati al server separatamente. Questo non basta per prevenire del tutto le iniezioni SQL ma è comunque buona prassi utilizzarle sempre.
Confermo quanto detto da @Not an engineer , in linea di massima i prepared statement sono sicuri ma è necessario implementare comunque dei controlli sull'input in modo da verificare che non possano essere bypassati.
La stessa OWASP (Open Web Application Security Project) suggerisce di usare i prepared statement come prima misura di sicurezza contro le SQL Injection, percui direi che è più che attendibile:
cheatsheetseries.owasp.org
cheatsheetseries.owasp.org
La stessa OWASP (Open Web Application Security Project) suggerisce di usare i prepared statement come prima misura di sicurezza contro le SQL Injection, percui direi che è più che attendibile:
SQL Injection Prevention - OWASP Cheat Sheet Series
Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org
Query Parameterization - OWASP Cheat Sheet Series
Website with the collection of all the cheat sheets of the project.
cheatsheetseries.owasp.org
- Stato
DISCUSSIONI SIMILI
- Chiuso
-
- 0
-
- 286