[Catalanitzador] Problema amb la persistència de logs al servidor de Catalanitzador

[Jordi Mas]

El 20/09/2014 07:52, Pau Iranzo ha escrit:
> Hola,
>
> He fet el commit [1]. Caldria fer algunes proves bàsiques de MySQL
> injection, per veure si el canvi que he fet [2] a la biblioteca de
> connexió a la bd pot suposar algun problema de seguretat.
>
> Algú sap fer això?

Hola Pau,

No sóc cap expert en seguretat o PHP però sembla que la funció 
mysql_real_escape_string que usem protegeix en la majoria de casos. 
Sembla que hi ha casos que no per això[1].

Les dades les enviem a través d'un POST des d'una aplicació. Això té un 
nivell de visibilitat molt més baix que per exemple un formulari obert a 
una web web.

En el pitjor dels casos, el que podria passar és que modifiquessin les 
dades de la base de dades Catalanitzador. Aquesta base de dades només 
l'usem per analitzar dades. Si alteressin les dades no seria un drama.
Entenc que tenim còpia de seguretat.

Jo el que recomanaria és si ningú té res més a dir pujar-ho a producció.

Atentament,

Jordi,

[1] 
http://stackoverflow.com/questions/5741187/sql-injection-that-gets-around-mysql-real-escape-string
-- 
Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/
Planet Softcatalà -> http://planeta.softcatala.org