Защита от SQL инъекций |
Здравствуйте, гость ( Вход | Регистрация )
Защита от SQL инъекций |
vaansk |
14.10.2013, 20:26
Сообщение
#1
|
Студент Группа: Участник Сообщений: 19 Регистрация: 5.10.2013 Пользователь №: 3944 Спасибо сказали: 0 раз(а) Репутация: 0 |
Добрый день, реализую клиет серверное приложение. Клиент передает QString search_query, а сервер начинает поиск в базе данных MySQL:
Интересуют методы борьбы с sql инъекциями, в интернете только на php попадается по поиску |
|
|
ilyabvt |
15.10.2013, 6:48
Сообщение
#2
|
Активный участник Группа: Участник Сообщений: 297 Регистрация: 23.6.2011 Пользователь №: 2765 Спасибо сказали: 45 раз(а) Репутация: 3 |
Ну вообще защита от SQL инфекций должна быть на сервере. И c++ тут не при чем. Вам скорее нужен профильный по SQL форум. Ну если вкратце и примитивно то нужно как можно сильнее урезать возможности пользователя под которым логинится клиент. В частности убрать прямой доступ к табличкам и организовать работу с ними через процедуры.
|
|
|
Алексей1153 |
15.10.2013, 6:52
Сообщение
#3
|
фрилансер Группа: Участник Сообщений: 2939 Регистрация: 19.6.2010 Из: Обливион Пользователь №: 1822 Спасибо сказали: 215 раз(а) Репутация: 34 |
+ используется экранирование параметров - вычищаются спецсимволы. У mysql есть спецфункции, например real_escape_string
Сообщение отредактировал Алексей1153 - 15.10.2013, 6:54 |
|
|
Iron Bug |
15.10.2013, 7:52
Сообщение
#4
|
Профессионал Группа: Модератор Сообщений: 1611 Регистрация: 6.2.2009 Из: Yekaterinburg Пользователь №: 533 Спасибо сказали: 219 раз(а) Репутация: 12 |
вычищение всех возможных спецсимволов - довольно хитрая задача. так, с ходу я не напишу. в PHP это довольно жирная процедура, которая проверяет кучу возможностей.
я думаю, что такие вещи уже написаны и существуют в виде библиотек. поищи в сети, наверняка найдёшь что-то подобное. |
|
|
Litkevich Yuriy |
16.10.2013, 2:55
Сообщение
#5
|
разработчик РЭА Группа: Сомодератор Сообщений: 9669 Регистрация: 9.1.2008 Из: Тюмень Пользователь №: 64 Спасибо сказали: 807 раз(а) Репутация: 94 |
в PHP это довольно жирная процедура, которая проверяет кучу возможностей. угу, она там делает чистку в зависимости от кодировки соединения, иначе проку от неё мало будет.Может тут есть полезное Упоминается подготовка запроса (binding/prepare) в качестве умного подхода, вместо выполнения запроса как произвольной строки. |
|
|
Текстовая версия | Сейчас: 19.4.2024, 8:37 |