5 Comments.

  1. Avevo letto anch’io qualcosa di simile che sinceramente perÚ ho saltato a piedi pari, tu ne sai qualcosa?, puoi spiegarmi che cosa intendeva M$ per utilizzo dei parametri?, IMHO perÚ devo dire che non lo trovo giusto, preferisco che M$ passi piý tempo a tappare falle ancora attive o a sviluppare prodotti molto piý affidabili (affidabili, non sicuri) ex novo piuttosto che sta lž a pensare a come correggere i possibili errori dei programmatori.

  2. Concordo in pieno, infatti MS dovrebbe fare prodotti stabili e i programmatori dovrebbero al posto di scrivere migliaia righe di programma fare prima un minimo di progettazione, nell’articolo dico spesso che il programmatore dovrebbe fare il aprsing o perlomeno un validate delle variabili che vengono passate, cosa che accade sempre meno spesso.
    Sinceramente non mi interessa che sia MS o *nix, un server Ť bucabile spesso per problemi legati agli script, non al OS stesso (ammesso e non concesso che venga patchato e controllato).

  3. :-)
    tu usi linux a quanto ho capito dai vari messaggi che hai lasciato in giro
    lavori in un’azienda con un programmatore interno
    l’hai fatto arrossire con una sql injection semplice semplice …
    c’Ť da aspettarsi che mettano te a fare il programmatore ghghgh
    cmq fossi in te non prenderei tanto in giro il tuo programmatore, di fatto per un programmatore essere accorto su TUTTO Ť veramente difficile.
    questo articolo Ť nato appositamente per diffondere un minimo di problemi a cui si puÚ incorrere.
    Da cui lo stile assolutamente divulgativo e poco tecnico.

    Nell’articolo scrivevo pure che non solo ASP e MS SQL server sono vulnerabili a questo tipo di azioni, di fatto per ora conosco solo coldfusion che non Ť passibile delle sql injection perpetrate con gli apici, per un discorso di get e post che magari approfondirÚ in un’altro articolo.

    Sono felice almeno che sia servito a qualchecosa, migliorare la programmazione del tuo programmatore :-)

  4. Grandioso Enrico!!!
    Grandioso!

  5. http://www.gdacrew.org/Hacking/tecniche/sql.htm

    non sapevo potesse avere successo quest’articolo!
    cmq son contento anche se non mi hanno segnalato che mi copiavano ed incollavano l’articolo per intero!!!!