[MYSQL] Sicurezza (SQL Injection, ecc.)

[gaetanoTwins]

Salve ragazzi, ho appena inserito in un sito web un form di registrazione e di autenticazione (username e password).
Adesso mi chiedo cosa fare per rendere l'autenticazione "sicura", ho letto che è necessario controllare che nn vengano inseriti nei campi username-password opportuni caratteri o intere stringhe di SQL (per esempio di cancellazione di un intera tabella)...

Per adesso ho controllato che alcuni caratteri tipo ' / ; non vengano inseriti, ho poi memorizzato l'hash delle password,
MI CHIEDO COSA ALTRO POSSO FARE PER RENDERLO VERAMENTE SICURO ???

(Il database utilizzato è MySQL e il linguaggio è java).

Grazie

[toraz]

Tempo fa avevo letto questo articolo, che parla di SQL Injection. Si parla di PHP ma il concetto è sempre lo stesso, quale che sia il linguaggio o il database che usi, basta leggerlo con un po' di criterio.

Per adesso ho controllato che alcuni caratteri tipo ' / ; non vengano inseriti

Questo non è il modo migliore per risolvere il problema, quello che andrebbe fatto è il contrario di quello che hai fatto tu. Cerco di spiegarmi meglio che posso, quando bisogna validare dei dati di qualsiasi genere è buona norma stabilire come i dati devono essere fatti e non come non devono esserlo, nel tuo caso non devi controllare che non contengano apici, slash o punti e virgola, devi piuttosto controllare che contengano solo, per esempio, caratteri alfanumerici o comunque caratteri che si possano considerare "sicuri". Così facendo elimini il rischio di dimenticarti, o non pensare, a qualcosa che invece potrebbe essere potenzialmente dannoso.

[gaetanoTwins]

ho definito che il campo password sia composto da caratteri alfanumerici e caratteri di interpunzione, devo eliminare i caratteri di interpunzione??

[gaetanoTwins]

Ragazzi mi consigliate di eliminare la possibilità di scegliere caratteri di interpunzione nella password, oppure posso lasciare questi caratteri e inserire opportuni controlli?

[toraz]

Beh... questa è una domanda un po' bastarda!

Cioè, da un lato la tecnica migliore per risolvere problemi del genere è quella che ti spiegavo prima, per contro in una password è auspicabile che possano venire usati il maggior numero di caratteri possibili e quindi sarebbe certamente più semplice usare il metodo che usavi tu. In conclusione se vuoi una risposta, ma devi giurare che non la impugnerai mai in un tribunale, nel caso della password io farei uno strappo alla regola e controllorei che la password non contenga i caratteri "'" e ";", che sono quelli che potrebbero servire a una SQL Injection. Poi per parafrasare il saggio "è una questione di esperienza e buon gusto" e io ci aggiungerei anche un po' buon senso.

[gaetanoTwins]

ok, ti prometto che questa è l'ultima domanda,poi ti lascio libero...
Hai detto di evitare il carattere di ";" ma io sto usando MySQL e nn ho ancora capito bene se con questo DBMS è possibile eseguire query multiple, perchè nel caso non fosse possibile potrei accettare il carattere ";"

[unomichisiada]

Originariamente inviato da gaetanoTwins
...nn ho ancora capito bene se con questo DBMS è possibile eseguire query multiple.....

A leggere la seconda pagina dell'articol olinkato sopra si trova: "Ad esempio MySQL non supporta gli statement multipli"

[Andrea1979]

infatti... si fa molto rumore per nulla su sta sql injection. E' vero, esiste, ma non è certo cos' banale l'exploit.
Altro è se qualcuno, "furbescamente", manda le query in GET... allora lì c'è da chiedersi quanto pollo bisogna essere e se forse non sia il caso di cambiare mestiere (o in caso di improvvisazione, se non sia il caso di improvvisare in altri ambiti).

Per il problema della password: la ricevi in post, ne salvi solo l'hash in database... e controlli l'hash, stringa esadecimale. Fine della fiera

[gaetanoTwins]

la password e l'username vengono inviati da un applet a una servlet attraverso un canale HTTPS

[Andrea1979]

Ok, quello che intendevo dire è questo:

Invii la password, in modo sicuro o insicuro... la ricevi dall'altro lato (niente a che vedere con sql ancora), ne calcoli un hash (il più famoso ed usato, md5), confronti questo hash (che non ha caratteri di escape, essendo [0..9-a..e]) con la password in hash nel database (non si salvano password chiaro o criptate, a meno che la tua funzione di recupero password non preveda il recupero della vecchia password, quanto pittutosto il reset con nuovo valore): la query quindi non avrà caratteri di escape.