Witam,
Nie wiem, czy zwracacie uwagę przy pisaniu zapytań do bazy danych, ale może macie jakieś przemyślenia podobne do moich?
Jak skutecznie ustrzec się przed "Złymi ludźmi", którzy - zamiast pisać, jak Bozia przykazała - prosty tekt w text_boksie, który potem wysyła dane informacje do bazy danych - wstawia tam "złośliwy kod", czyli tzw. SQL_injection??
Jeśli ktoś nie wie, o co chodzi, wyjaśniam: mamy okno tekstowe, w którym osoba odwiedzająca daną stronę może wpisać dowolny tekst, np. komentarz, który potem wysyłany jest bazy.
Ale w ogromnej części skryptów, jakie zdażało mi się widzieć, taki tekst można wpisać zupełnie dowolnie. Można zatem wpisać 'Ta strona mi się nie podoba', ale równie dobrze może być to '; DROP TABLE users', czy podobnie sformułować równie destrukcyjne polecenie...
Jak powszechnie wiadomo, znak ';' kończy linię. Dalej wykonywana jest komenda, kto wie, czy w będzie to właśnie ta??
Korzystając z tego forum, chciałem zapytać, czy staracie się jakoś zabezpieczyć przed taką formą wandalizmu? Wpisujecie jakiś specjalny kod, który sprawdza treść wysyłaną przez formularz do bazy, aby ustrzec się przed czymś podobnym??
I tutaj prośba: może warto byłoby coś podobnego umieścić na tym forum? Proponuję temat: "Jak zabezpieczyć MySQL i inne bazy przed wandalami/złodziejami i innymi złymi ludźmi".
Co o tym sądzicie?
Pozdrawiam wszystkich i miłego dnia życzę,
DawidF