[Catalanitzador] Problema amb la persistència de logs al servidor de Catalanitzador
Jordi Mas
jmas a softcatala.org
dij set 25 21:51:22 CEST 2014
El 20/09/2014 07:52, Pau Iranzo ha escrit:
> Hola,
>
> He fet el commit [1]. Caldria fer algunes proves bàsiques de MySQL
> injection, per veure si el canvi que he fet [2] a la biblioteca de
> connexió a la bd pot suposar algun problema de seguretat.
>
> Algú sap fer això?
Hola Pau,
No sóc cap expert en seguretat o PHP però sembla que la funció
mysql_real_escape_string que usem protegeix en la majoria de casos.
Sembla que hi ha casos que no per això[1].
Les dades les enviem a través d'un POST des d'una aplicació. Això té un
nivell de visibilitat molt més baix que per exemple un formulari obert a
una web web.
En el pitjor dels casos, el que podria passar és que modifiquessin les
dades de la base de dades Catalanitzador. Aquesta base de dades només
l'usem per analitzar dades. Si alteressin les dades no seria un drama.
Entenc que tenim còpia de seguretat.
Jo el que recomanaria és si ningú té res més a dir pujar-ho a producció.
Atentament,
Jordi,
[1]
http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string
--
Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/
Planet Softcatalà -> http://planeta.softcatala.org
Més informació sobre la llista de correu Catalanitzador