הייתי רוצה להציג מסמך ש-notkok ואני כתבנו בנושא ה-SQL Injections.

למי שלא מכיר - מדובר בבעיית אבטחה הקיימת באתרים העובדים מול בסיסי נתונים. הבעיה נפוצה ביותר - בערך 60%-70% לדעתי מהאתרים בארץ פגיעים לה.

הדגשנו במסמך הרבה כיצד בדיוק פועל התוקף, וגם כיצד להגן מפני ההתקפות האלו.
אני מאמין שמסמך כזה יוכל לעזור למפתחי האתרים שביננו להגן על עצמם.

קישור למסמך: http://underwar.livedns.co.il/docum...ails.asp?id=264

ייתכן וגם הוזכרה שם PHP, אבל, לאלו מכם שמתכנתים ב PHP (או אלו שעדיין מתכנתים ב ASP ושוברים את הראש על שטויות כאלה), אין צורך לקרוא 69 עמודים בשביל למנוע SQL Injections. פשוט לפני שאתם דוחפים משתנה כלשהוא לשאילתא, תעבירו אותו דרך mysql_escape_string (או mysql_real_escape_string במקרה של הכנסת מידע בינארי) - וזהו...

* אם אתם לא עובדים עם MySQL אלא עם DB אחר, תהיה פונקציה מתאימה עם שמו של ה DB האחר שתעשה אותו הדבר כראוי. בקרוב בכלל הדבר יהיה אוניברסלי עם PDO. (החל מ PHP 5.1)

נמאס לכם לזכור סיסמאות? לחצו כאן!