Никто не забыт и не что не забыто

Ну нашли что-то, расковыряли, отписали ну и хорошо ну и правильно.. кому надо тот докапаеться и прочтет.. и будет юзать и будет благодарен..

тут наверно работает какой-то принцип всемирного уравновешивания.. еслиб все хорошие мысли по безопасности реализовывались тоже б не чего хорошего не было.. сколько и так дыр каждый день затыкают..

+1

Ден Каминский (Dan Kaminsky), получивший известность обнаружением фундаментальной уязвимости в DNS оказался не таким уж толковым парнем, судя по этому материалу

Для нормальных кодеров "проблемы SQL инъекций" вообще нет, ибо они знают как работать с данными.

Ну а если кому-то не хватает стандартных функций пыха давно придумали PDO

Помоему как раз по этому критерию на работу то и набирают "спецов" с купленными дипломами.
Тут необходима в первую очередь увлеченность своим делом, а не желание заработать выдавая себя за спеца по безопасности.
Все вопросы сами собой отпадали бы, если бы в компаниях всех этих горе-спецов тестировали как они борятся с уязвимостями, смотрели бы как они пишут код, специально подталкивая их к уязвимым функциям и т.д...

Об этом например говорит тот факт, что почти во всех SQL есть вывод ошибки. ($mysql_error), то бишь всё просто копипастят из инета, берут функции и просто юзают их, а в инете как известно никаких фильтров в примерах то и не стоит.

Хорош метод. Все, что достаточно, это пропатчить модуль на php (mysql.so), perl (dbi::mysql), python (не помню) и что там еще у вас, где функция сразу кодировала строку запроса и после отдавала драйверу на обработку. ИМХО, решение имеет место быть, причем начнет действовать сразу и глобально без надобности переписывать весь код.

Тогда уж PDO (как написал Jokester), а иначе, как ты в драйвере будешь определять какую часть запроса пользователь наколбасил руками, а какую взял из параметров полученных извне?

Это я к тому, что твой вариант не пашет.

P.S.
Речь только о php, в случае с Java или .Net наличие SQL инъекций вообще непростительно.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

Логично, об этом я не подумал... В любом случае было и такое:
http://bugs.mysql.com/bug.php?id=18861

Я вообще сторонник жестких проверок передаваемых значений. Не проще ли тогда делать так:

$resname = b64function($fname);
$conn->query(select * from table1 where fname=$resname)

?

Погугли на тему PDO, в частности binding parameters.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

Спасибо буду иметь ввиду, на php не программирую сейчас . Вообще в линке, что я дал есть патч весьма свежий (для 5.х из рассылки) именно для mysql, который включает в себя встроенные функции для кодирования/декодирования.