Tullio Andreatta ML t.andreatta-at-troppoavanti.it |kjgJuXB2: ml-sikurezza.org/2.0-Allow| wrote:
> (Tra l'altro, il motivo (c) e' evidenziato in questo esempio anche > dal tentativo di impedire la possibilita' di sql injection Vorrei solo fare notare che il problema della presunta SQL injection con caratteri speciali per la password non dovrebbe neanche porsi. Un'applicazione web fatta in modo sensato trasforma la password in un hash ben prima che venga fatto alcun controllo fra essa e quanto esiste nel database; in altre parole una volta inviata tramite http POST l'applicazione web la dovrebbe trasformare nel suo hash e SOLTANTO POI controllare che vi sia la corrispondenza dell'hash nel database e l'hash della password inviata tramite post. Se assumiamo ragionevolmente che entrambi gli hash siano in hex, non vedo come l'immissione di caratteri come l'apostrofo possa causare alcun problema. Se i caratteri come l'apostrofo possono causare problemi per campi come quello della password, significa probabilmente che l'applicazione fa una query direttamente sul database (e conseguentemente le password sono in chiaro nel database - il che non mi sembra proprio una cosa ragionevole). ..
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
