Hola Jordi, La pose'm aquesta nit en producció, d'acord? (la posaria ara, però he d'agafar el cotxe 9 hores i si passa alguna cosa no ho podré canviar) SAlut! El dia 25 setembre de 2014 21:51, Jordi Mas <jmas@softcatala.org> ha escrit:
El 20/09/2014 07:52, Pau Iranzo ha escrit:
Hola,
He fet el commit [1]. Caldria fer algunes proves bàsiques de MySQL injection, per veure si el canvi que he fet [2] a la biblioteca de connexió a la bd pot suposar algun problema de seguretat.
Algú sap fer això?
Hola Pau,
No sóc cap expert en seguretat o PHP però sembla que la funció mysql_real_escape_string que usem protegeix en la majoria de casos. Sembla que hi ha casos que no per això[1].
Les dades les enviem a través d'un POST des d'una aplicació. Això té un nivell de visibilitat molt més baix que per exemple un formulari obert a una web web.
En el pitjor dels casos, el que podria passar és que modifiquessin les dades de la base de dades Catalanitzador. Aquesta base de dades només l'usem per analitzar dades. Si alteressin les dades no seria un drama. Entenc que tenim còpia de seguretat.
Jo el que recomanaria és si ningú té res més a dir pujar-ho a producció.
Atentament,
Jordi,
[1] http://stackoverflow.com/questions/5741187/sql- injection-that-gets-around-mysql-real-escape-string
-- Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/ Planet Softcatalà -> http://planeta.softcatala.org