Strona 1 z 1

SQL injection

: 10 kwie 2018, 20:29
autor: Boris
Witam. Mam pytanie odnoście SQL injection. Mianowicie nie wiem od czego zależy modyfikowanie zapytań używając 'or''=''# OR '1'='1; -- mam na myśli komentowanie reszty zapytania. Dlaczego raz trzeba użyć '#' a raz "--" . Czy ma to związek z rodzajem bazy danych? Dodam tylko że dopiero zaczynam dlatego pytam.

Re: SQL injection

: 23 kwie 2018, 18:32
autor: F3nix
Mam nadzieje że oglądałeś kurs webaudytorki: https://www.youtube.com/watch?v=al9oFl5 ... 7KmMQ1QI45

Masz racje, wszystko zależy od silnika bazy danych (jakie komentarze obsługuje). Druga sprawą jest filtracja danych przez programistę. Nieuważny i niedoświadczony koder mógł niepoprawnie przefiltrować dane. Przykładowo był początkujący i usuwa z ciąu wszystkie znaki #, jednak nie wiedział że w wielu bazach danych istnieje większa ilość typów komentarzy. Trzeba myśleć jak projektant aplikacji, dlatego warto nauczyć się też programować w danym języku właśnie w tym celu.