Abuse Melding

Je hebt een klacht over de onderstaande posting:

09-01-2024, 17:24 door Anoniem

Door Anoniem: Door Anoniem: Sql injectie zou op zich voor het grootste gedeelte makkelijk op te lossen zijn als databases verbieden om parameters in de query mee te zenden. Dus alles stored procedure achtig, waarbij alleen paramters gevuld mogen worden met wat verwacht wordt (bv getal en dus niet quote etc) Je hebt het niet begrepen. Als je (al je) invoerwaarden als SQL parameters doorgeeft, heb je juist geen last van SQL injectie. Het risico ontstaat bij het samenstellen van een SQL statement uit invoerstrings. We zeggen hetzelfde. Geen "SELECT 1 FROM tabel where (en dan hier lekker zelf alles opbouwen in jouw eigen code)" Maar echt "SELECT 1 FROM tabel where x = ?" en dat alleen ? aan de kant van de database mag worden samengevoegd. En dat vaste stuk ook aan de kant van de database vast ligt (want anders kan een aanvaller alsnog wel z'n eigen query samenstellen). Het lost het niet helemaal op, maar het verhelpt wel al vele vergissingen.

Beschrijf je klacht (Optioneel):

captcha