@Scharnvirk: Tu się zgodzę, nie wszystko da się wykonać w ORMie, szczególnie fikuśne zapytania... Ale większość takich zapytań nie musi korzystać z danych od użytkownika. A jeśli już to najpierw robię zapytanie weryfikacyjne (czy np dane istnieją w bazie) a dopiero właściwe... Sporo jest dobrych metod zabezpieczenia, np: nigdzie po stronie klienta nie używamy żadnych ID z bazy... Ew posługujemy się danymi zastępczymi (slug). Czy tworzymy serwis w taki sposób, by
Komentarze (15)
najlepsze
źródło: comment_bXh0pGGKVeTZPifT80yVRSqQMVol4aEM.jpg
PobierzSQL Injection: http://www.uw-team.org/videoarty.html
Wszystkie(większość) ataki i niebezpieczeństwa na strony WWW http://www.uw-team.org/videoarty_security.html
Dobra definicja SQL-injection... coś co nie powinno dziś działać, i faktycznie ten atak przy użyciu średnika nie działa już pewnie z dekadę.