sql

[symone616]

qualcuno mi sa spiegare qualcosa sul SQL injection?

come faccio a sapere se un server è affetto da questo bug?
grazie

[parnas]

E' una tecnica usata per crackare le applicazioni basate su database, che consiste nel fornire al programma un input volutamente "contorto"...
se l'applicazione usa l'input dell'utente per comporre uno statement SQL senza preoccuparsi troppo di effettuare controlli di validità, è possibile eseguire sul db uno statement diverso da quello pensato dal programmatore, e fare danni. Se cerchi "sql injection" su google trovi parecchie risorse utili ed esempi.

Il baco da sfruttare, come avrai capito, non è nel db server, ma nell'applicazione che si collega al db.

[symone616]

grazie...
ho già provato a fare una ricerca in goggle
ma non ho capito molto
da quel che ho capito inserendo dei comandi speciali, scritti in un certo modo, in una query di un login si riesce a far fare al server quello che si vuole...
più o meno è così no?