sicurezza form

[Francis87]

ciauz a tutti

cercando di mettere al sicuro (piu' possibile) i campi di vari form su vari miei siti, volevo chiedere se esiste la possibilita' tramite sql injection di dare piu' istruzioni in un colpo solo.

es.

se io metto:

codice:

SELECT permissionlevel FROM users WHERE username='".$username."' AND password='".$password."'

qualcuno puo' piazzarmi altre istruzioni nel campo password tipo altre select o insert ( VVoVe: ) o UPDATE ( VVoVe: VVoVe: ) o DROP ( VVoVe: VVoVe: VVoVe: ) ???

poi, ho testato i form con le stringhe che ho trovato in qualche documento pdf dove si parlava di rimedi a questo problema, ma il commento -- non mi ha mai funzionato.

devo ritenermi al sicuro o stupido?

grazie

[shishii]

Originariamente inviato da Francis87
ciauz a tutti

cercando di mettere al sicuro (piu' possibile) i campi di vari form su vari miei siti, volevo chiedere se esiste la possibilita' tramite sql injection di dare piu' istruzioni in un colpo solo.

es.

se io metto:

codice:

SELECT permissionlevel FROM users WHERE username='".$username."' AND password='".$password."'

qualcuno puo' piazzarmi altre istruzioni nel campo password tipo altre select o insert ( VVoVe: ) o UPDATE ( VVoVe: VVoVe: ) o DROP ( VVoVe: VVoVe: VVoVe: ) ???

dipende dal database, se supporta le query annidate, allora teoricamente è possibile, altrimenti no. MySQL fino alla versione 4 non supporta le query annidate, non mi ricordo se dalla 5 le supporta.

poi, ho testato i form con le stringhe che ho trovato in qualche documento pdf dove si parlava di rimedi a questo problema, ma il commento -- non mi ha mai funzionato.

devo ritenermi al sicuro o stupido?

grazie

Il tag di commento -- non va bene per tutti i sistemi, il più sicuro è #

[meganoide]

l'hai letto questo http://sicurezza.html.it/articoli.as...&idarticoli=46 ?

[Francis87]

grazie ad entrambi.

non avevo letto quell'articolo, ma uso mySQL e SQL server non l'ho di conseguenza mai usato.
ci sono comandi particolari anche con mySQL?

grazie ancora!