SQL injection

Tematy dotyczące wszelkiego typu informatycznych baz danych i języka zapytań SQL.
Boris
Posty: 1
Rejestracja: 10 kwie 2018, 20:08

SQL injection

Post autor: Boris »

Witam. Mam pytanie odnoście SQL injection. Mianowicie nie wiem od czego zależy modyfikowanie zapytań używając 'or''=''# OR '1'='1; -- mam na myśli komentowanie reszty zapytania. Dlaczego raz trzeba użyć '#' a raz "--" . Czy ma to związek z rodzajem bazy danych? Dodam tylko że dopiero zaczynam dlatego pytam.
Awatar użytkownika
F3nix
Posty: 332
Rejestracja: 28 kwie 2015, 20:51

Re: SQL injection

Post autor: F3nix »

Mam nadzieje że oglądałeś kurs webaudytorki: https://www.youtube.com/watch?v=al9oFl5 ... 7KmMQ1QI45

Masz racje, wszystko zależy od silnika bazy danych (jakie komentarze obsługuje). Druga sprawą jest filtracja danych przez programistę. Nieuważny i niedoświadczony koder mógł niepoprawnie przefiltrować dane. Przykładowo był początkujący i usuwa z ciąu wszystkie znaki #, jednak nie wiedział że w wielu bazach danych istnieje większa ilość typów komentarzy. Trzeba myśleć jak projektant aplikacji, dlatego warto nauczyć się też programować w danym języku właśnie w tym celu.
ODPOWIEDZ