È vero che l'iniezione SQL cieca non funziona su MariaDB?

-1

Mi è stato detto da qualcuno sulla rete che MariaDB non era suscettibile all'iniezione SQL cieca. Non ero a conoscenza di questo. Qualcuno può elaborare? Lo sto usando sul mio server e mi è stato detto di non passare a PDO perché non dovevo preoccuparmene.

    
posta Ernest A Buffington 18.10.2017 - 08:54
fonte

1 risposta

4

Trovo che sia difficile da credere, e apparentemente così fa MariaDB loro stessi (h / t @schroeder ).

MariaDB è un fork di MySQL e "intende mantenere un'elevata compatibilità con MySQL, garantendo una capacità di sostituzione drop-in con equivalenza binaria della libreria e corrispondenza esatta con le API ei comandi MySQL" in base a Wikipedia . Puoi fare un'iniezione SQL cieca su MySQL, quindi perché non dovresti essere in grado di farlo su MariaDB?

In effetti, la possibilità di eseguire qualsiasi tipo di iniezione SQL è una vulnerabilità nell'applicazione e non nel database . Quindi la tua scelta del database SQL non dovrebbe davvero importare per questo.

Ma comunque, diciamo che la persona che ti ha detto questo è giusto (cosa che non sono). Ciò significa che non devi usare DOP o dichiarazioni preparate? No, no, no, mille volte no. Che dire dell'iniezione SQL ordinaria (non cieca)? Questo è ancora più pericoloso!

Per farla breve, basta usare PDO o istruzioni preparate.

    
risposta data 18.10.2017 - 09:46
fonte

Leggi altre domande sui tag