crossplatform.ru

Здравствуйте, гость ( Вход | Регистрация )

 
 Ответить в данную темуНачать новую тему
> Защита от SQL инъекций
vaansk
  опции профиля:
сообщение 14.10.2013, 20:26
Сообщение #1


Студент
*

Группа: Участник
Сообщений: 19
Регистрация: 5.10.2013
Пользователь №: 3944

Спасибо сказали: 0 раз(а)




Репутация:   0  

Добрый день, реализую клиет серверное приложение. Клиент передает QString search_query, а сервер начинает поиск в базе данных MySQL:

  if (!query.exec("SELECT * from torrents WHERE name LIKE '%" + search_query + "%'"))
  {
    qDebug() << "Unable to select";
  }


Интересуют методы борьбы с sql инъекциями, в интернете только на php попадается по поиску
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
ilyabvt
  опции профиля:
сообщение 15.10.2013, 6:48
Сообщение #2


Активный участник
***

Группа: Участник
Сообщений: 297
Регистрация: 23.6.2011
Пользователь №: 2765

Спасибо сказали: 45 раз(а)




Репутация:   3  

Ну вообще защита от SQL инфекций должна быть на сервере. И c++ тут не при чем. Вам скорее нужен профильный по SQL форум. Ну если вкратце и примитивно то нужно как можно сильнее урезать возможности пользователя под которым логинится клиент. В частности убрать прямой доступ к табличкам и организовать работу с ними через процедуры.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Алексей1153
  опции профиля:
сообщение 15.10.2013, 6:52
Сообщение #3


фрилансер
******

Группа: Участник
Сообщений: 2939
Регистрация: 19.6.2010
Из: Обливион
Пользователь №: 1822

Спасибо сказали: 215 раз(а)




Репутация:   34  

+ используется экранирование параметров - вычищаются спецсимволы. У mysql есть спецфункции, например real_escape_string

Сообщение отредактировал Алексей1153 - 15.10.2013, 6:54
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Iron Bug
  опции профиля:
сообщение 15.10.2013, 7:52
Сообщение #4


Профессионал
*****

Группа: Модератор
Сообщений: 1611
Регистрация: 6.2.2009
Из: Yekaterinburg
Пользователь №: 533

Спасибо сказали: 219 раз(а)




Репутация:   12  

вычищение всех возможных спецсимволов - довольно хитрая задача. так, с ходу я не напишу. в PHP это довольно жирная процедура, которая проверяет кучу возможностей.
я думаю, что такие вещи уже написаны и существуют в виде библиотек. поищи в сети, наверняка найдёшь что-то подобное.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
Litkevich Yuriy
  опции профиля:
сообщение 16.10.2013, 2:55
Сообщение #5


разработчик РЭА
*******

Группа: Сомодератор
Сообщений: 9669
Регистрация: 9.1.2008
Из: Тюмень
Пользователь №: 64

Спасибо сказали: 807 раз(а)




Репутация:   94  

Цитата(Iron Bug @ 15.10.2013, 9:52) *
в PHP это довольно жирная процедура, которая проверяет кучу возможностей.
угу, она там делает чистку в зависимости от кодировки соединения, иначе проку от неё мало будет.


Может тут есть полезное

Упоминается подготовка запроса (binding/prepare) в качестве умного подхода, вместо выполнения запроса как произвольной строки.
Перейти в начало страницы
 
Быстрая цитата+Цитировать сообщение
« Предыдущая тема · Qt Разработка баз данных · Следующая тема »
 

Быстрый ответОтветить в данную темуНачать новую тему
Теги
Нет тегов для показа


1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

RSS Текстовая версия Сейчас: 19.4.2024, 8:37
Форум IP.Board © 2024  IPS, Inc.
Лицензия зарегистрирована на: CrossPlatform.RU