No ten příměr k vyhledávacímu poli na CDR nebyl nejšťastnější, vždyť právě v tomto poli bylo na DIIT persistentní XSS, když jste přecházeli na nový CMS.
+1
-6
-1
Je komentář přínosný?
No ten příměr k vyhledávacímu
J D https://cdr.cz/profil/hnz
14. 10. 2013 - 16:42https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuseNo ten příměr k vyhledávacímu poli na CDR nebyl nejšťastnější, vždyť právě v tomto poli bylo na DIIT persistentní XSS, když jste přecházeli na nový CMS.https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuse#comment-670695
+
Pokud vývojář používá v kódu volání SQL a používá k tomu typově bezpečné objekty pro vstup parametrů s validací, tak se jej sql injection netýká.
SQL injection se týká jen takových zoufalců, kteří jsou schopni napsat něco jako string query= "SELECT * FROM table WHERE columnName='" + inputParameter + "'", kde inputParameter je nevalidovaný vstup od uživatele a tento kód následně spustit. Dobře jim tak.
Pokud se mýlím, tak mě opravte.
+1
+3
-1
Je komentář přínosný?
Pokud vývojář používá v kódu
Rudolf Dvořáček https://cdr.cz/profil/rudidlo
14. 10. 2013 - 17:08https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskusePokud vývojář používá v kódu volání SQL a používá k tomu typově bezpečné objekty pro vstup parametrů s validací, tak se jej sql injection netýká.
SQL injection se týká jen takových zoufalců, kteří jsou schopni napsat něco jako string query= "SELECT * FROM table WHERE columnName='" + inputParameter + "'", kde inputParameter je nevalidovaný vstup od uživatele a tento kód následně spustit. Dobře jim tak.
Pokud se mýlím, tak mě opravte.
https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuse#comment-670700
+
V tom "dobre jim tak" se nemylis, nicmene i v tech tvych "typove bezpecnych objektech pro vstup parametru" muze byt chyba. Jediny duvod proc jsou bezpecnejsi je, ze prislusne knihovny obvykle uz nejakou dobu existuji a behem te doby se v nich vetsina chyb s moznym SQL injection uz opravila.
+1
+3
-1
Je komentář přínosný?
V tom "dobre jim tak" se
HKMaly https://cdr.cz/profil/hkmaly
15. 10. 2013 - 15:41https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuseV tom "dobre jim tak" se nemylis, nicmene i v tech tvych "typove bezpecnych objektech pro vstup parametru" muze byt chyba. Jediny duvod proc jsou bezpecnejsi je, ze prislusne knihovny obvykle uz nejakou dobu existuji a behem te doby se v nich vetsina chyb s moznym SQL injection uz opravila.https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuse#comment-670798
+
Teď si nejsem úplně jistý. Je větší zoufalec ten, kdo na ty ubohé stránky útočí, nebo ten, kdo na ně chodí?
Mám teď na stole nějaké propagační letáky stran. Musel to psát nějaký středoškolák, kterému na ÚV té které strany řekli "Napiš tam nějaké sračky pro ten póvl, co tomu uvěří" A jeho kamarádovi řekne "A se serverem si starosti nedělej, jestli ho někdo napadne, tak já budu dělat hrdinu a kolegyně fňukat, hlavně ať jsme ve večerních zprávách"
Útočit se má někde jinde, význam útoků usmrkanců na weby politických stran je menší, než útok na web pohřební služby. Jenže pokud si např. předseda pirátů po vzoru cikánů ani nemyje hlavu, tak dospělou myšlenku nevypustí.
+1
-3
-1
Je komentář přínosný?
Teď si nejsem úplně jistý. Je
Nick https://cdr.cz/profil/nick
15. 10. 2013 - 00:54https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuseTeď si nejsem úplně jistý. Je větší zoufalec ten, kdo na ty ubohé stránky útočí, nebo ten, kdo na ně chodí?
Mám teď na stole nějaké propagační letáky stran. Musel to psát nějaký středoškolák, kterému na ÚV té které strany řekli "Napiš tam nějaké sračky pro ten póvl, co tomu uvěří" A jeho kamarádovi řekne "A se serverem si starosti nedělej, jestli ho někdo napadne, tak já budu dělat hrdinu a kolegyně fňukat, hlavně ať jsme ve večerních zprávách"
Útočit se má někde jinde, význam útoků usmrkanců na weby politických stran je menší, než útok na web pohřební služby. Jenže pokud si např. předseda pirátů po vzoru cikánů ani nemyje hlavu, tak dospělou myšlenku nevypustí.https://cdr.cz/clanek/cdr-security-update-mesic-politickych-webu-hackeri-hledaji-chyby-u-politickych-stran/diskuse#comment-670739
+
No ten příměr k vyhledávacímu poli na CDR nebyl nejšťastnější, vždyť právě v tomto poli bylo na DIIT persistentní XSS, když jste přecházeli na nový CMS.
Pokud vývojář používá v kódu volání SQL a používá k tomu typově bezpečné objekty pro vstup parametrů s validací, tak se jej sql injection netýká.
SQL injection se týká jen takových zoufalců, kteří jsou schopni napsat něco jako string query= "SELECT * FROM table WHERE columnName='" + inputParameter + "'", kde inputParameter je nevalidovaný vstup od uživatele a tento kód následně spustit. Dobře jim tak.
Pokud se mýlím, tak mě opravte.
V tom "dobre jim tak" se nemylis, nicmene i v tech tvych "typove bezpecnych objektech pro vstup parametru" muze byt chyba. Jediny duvod proc jsou bezpecnejsi je, ze prislusne knihovny obvykle uz nejakou dobu existuji a behem te doby se v nich vetsina chyb s moznym SQL injection uz opravila.
Teď si nejsem úplně jistý. Je větší zoufalec ten, kdo na ty ubohé stránky útočí, nebo ten, kdo na ně chodí?
Mám teď na stole nějaké propagační letáky stran. Musel to psát nějaký středoškolák, kterému na ÚV té které strany řekli "Napiš tam nějaké sračky pro ten póvl, co tomu uvěří" A jeho kamarádovi řekne "A se serverem si starosti nedělej, jestli ho někdo napadne, tak já budu dělat hrdinu a kolegyně fňukat, hlavně ať jsme ve večerních zprávách"
Útočit se má někde jinde, význam útoků usmrkanců na weby politických stran je menší, než útok na web pohřební služby. Jenže pokud si např. předseda pirátů po vzoru cikánů ani nemyje hlavu, tak dospělou myšlenku nevypustí.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.