|
|
Hehe, lâu cũng được vụ hot, mà nhanh chóng tắt rùi nhỉ.
Chờ xem tập hai
|
|
|
PreparedStatement dùng không phù hợp vẫn bị tấn công SQL Injection.
Uhm, cái nì tớ hoàn toàn đồng ý. Bởi vì nó còn phụ thuộc vào ngừoi lập trình phần lớn. Bởi thế nên sự cẩu thả và lừoi biếng sẽ tiềm ẩn những nguy cơ bị hack rất nhiều. Mà thôi, tôi nghĩ chúng ta cũng hơi lạc đề. Bởi vì tác giải chỉ muốn biết các giải pháp chống sql injection thôi.
Như các bạn khác cũng đã đề cập, nếu muốn chống sql injection, thì việc vô hiệu hoá những ký tự đặt biệt trong hệ quản trị cơ sở dữ liệu là điều cần thiết. Nên tiến hành việc kiểm tra ở cả client và server nữa để cho an toàn. Và nếu được thì bạn có thể dùng store procedure để lấy kết quả về.
Store procedure có khả năng loại bỏ ý nghĩa của các ký tự đặt biệt mà người sử dụng thêm vào.
|
|
|
bolzano_1989 wrote:
saxvai wrote:
Mình thấy java , .net có hỗ trợ việc chống sql injection rất tốt. Do nó có cơ chế setParameter trong câu lệnh truy vấn, và loại bỏ ý nghĩa của các ký tự đặc biệt.
Còn php thì bạn cũng có thể viết một hàm để sử dụng nếu bạn lười. Còn nếu bạn siêng thì có thể tìm hiểu và sử dụng một vài framework có hỗ trợ sẵn . ^^
Java có những hỗ trợ gì sẵn có liên quan đến việc chống SQL Injection vậy bồ ?
PreparedStatement đó bồ
|
|
|
Mình thấy java , .net có hỗ trợ việc chống sql injection rất tốt. Do nó có cơ chế setParameter trong câu lệnh truy vấn, và loại bỏ ý nghĩa của các ký tự đặc biệt.
Còn php thì bạn cũng có thể viết một hàm để sử dụng nếu bạn lười. Còn nếu bạn siêng thì có thể tìm hiểu và sử dụng một vài framework có hỗ trợ sẵn . ^^
|
|
|
|
|
|
|